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随 着 Internet 和 Intranet 技术 的 广泛 应 用 ， 计 算 机 网 络 资源 共享 进一步 加 强 ， 但 与 此 同 
时 网 络 安全 问题 ( 既 有 来 自 外 部 的 黑客 攻击 ， 也 有 来 自 内 部 的 威胁 ) 也 变 得 日 益 突出 ， 网 
络 安 全 面临 重大 挑战 。 事 实 上 ， 资 源 共享 和 信息 安全 历来 就 是 一 对 矛盾 ， 而 计算 机 网 络 的 
开放 性 决定 了 网 络 安 全 问题 是 先天 存在 的 ，TCP/IP 框架 基本 上 是 不 设防 的 。 那 么 如 何 切实 
有 效 地 保护 计算 机 网 络 安全 呢 ? 您 将 从 本 书 中 找到 答案 。 

本 书 根据 作者 多 年 从 事 本 课程 教学 的 讲稿 ， 以 及 近 几 年 来 主编 出 版 的 3 本 计算 机 网 络 
教材 ， 并 结合 计算 机 网 络 安全 技术 的 实际 应 用 ， 综 合计 算 机 网 络 安全 技术 的 发 展现 状 编写 
而 成 。 本 书 可 作为 普通 高 等 院 校 计算 机 专业 本 科 生 计算 机 网 络 安全 技术 课程 的 教材 ， 也 可 
供 信 息 学 科 非 计算 机 专业 本 科 生 、 成 人 教育 学 生 、 职 业 技术 学 院 学生 参 考 、 学 习 。 人 参考 学 
时 为 32 一 48 学 时 ， 其 中 含 上 机 6 学 时 。 

本 书 最 突出 的 特点 是 把 计算 机 网 络 安全 技术 的 基本 理论 、 基 本 知识 与 实际 应 用 技术 和 
基本 技能 融 为 一 体 ， 紧 密 结合 当前 技术 的 新 发 展 ， 在 阐述 理论 知识 的 同时 侧重 实用 性 ; 力 
求 在 讲述 概念 和 原理 时 做 到 严格 、 准 确 、 精 练 。 为 便于 教学 ， 每 章 均 附 有 小 结 、 练 习 与 思 
考题 ， 夯 龙 点 睛 地 归纳 该 章 精髓 。 

本 书 共 包括 10 章 和 1 个 附录 。 第 1 章 主 要 描述 计算 机 网 络 安全 的 定义 、 目 标 、 特征 和 
安全 策略 ， 计 算 机 网 络 安全 的 漏洞 与 威胁 ， 网 络 安全 体系 结构 ， 网 络 安全 措施 ， 网 络 安 全 
评价 标准 等 ， 第 2 章 着 重 介绍 数据 加 密 技 术 ， 其 中 包括 传统 密码 技术 、 对 称 和 公开 密 钥 密 
码 体制 、 数 字 签 名 、 密 钥 管理 算法 等 ; 第 3 章 重 点 介绍 操作 系统 安全 , 其 中 包括 Windows NT 
操作 系统 安全 、UNIX/Linux 操作 系统 安全 等 ; 第 4 章 介绍 数据 库 与 数据 的 安全 ， 其 中 包括 
数据 库 安全 的 基本 概念 、 数 据 库 的 安全 特性 、 数 据 库 的 安全 保护 、Web 数据 库 的 安全 、SQL 
Server 数据 库 的 安全 ; 第 5 章 介绍 PKI 技术 ， 其 中 包括 口令 认证 方法 、 身 份 识别 与 鉴别 、 
PKI 的 概念 、 证 书 权威 CA、PKI 应 用 举例 ; 第 6 章 介绍 防火 墙 工作 原理 及 应 用 ， 其 中 包括 
防火 墙 概述 、 防 火 墙 技术 、 防 火 墙 体系 结构 、 防 火 墙 的 选 型 与 产品 简介 、 瑞 星 个 人 防火 墙 ; 
第 7 章 主要 介绍 计算 机 病毒 防治 ， 其 中 包括 计算 机 病毒 的 特点 与 分 类 、 恶 意 代码 、 计 算 机 
病毒 的 检测 与 清除 、 计 算 机 病毒 的 现状 和 发 展 趋势 ; 第 8 章 主要 介绍 入 侵 检测 系统 ， 其 中 
包括 入 侵 检 测 原理 与 结构 、 网 络 扫描 和 网 络 监听 、 儿 种 商用 入 侵 检测 系统 ， 第 9 章 重 点 介 
绍 Internet 安全 、VPN 和 IPSec， 其 中 包括 TCP/IP 协议 及 其 安全 、Web 站 点 安全 、Web 电 
子 商 务 安 全 、 黑 客 与 网 络 攻击 、 电 子 邮件 系统 的 安全 、 虚 拟 专用 网 、IPSec 安全 模式 ; 第 
10 章 主要 介绍 无 线 网 络 的 安全 ， 其 中 包括 无 线 网 络 标准 、 无 线 局 域 网 有 线 等 价 保密 安全 机 
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制 、 无 线 局 域 网 有 线 等 价 保密 安全 漏洞 、 无 线 局 域 网 安全 威胁 、 无 线 保护 接 入 机 制 。 在 附 
录 部 分 ， 分 别 给 出 了 对 网 络 安全 实验 的 建议 及 题目 、 名 词 术语 的 英文 缩写 对 照 表 、 一 些 极 
有 具 参考 价值 的 网 址 。 

本 书 撰写 分 工 如 下 : 第 1 章 、 第 2 章 和 第 10 章 由 雷 渭 侣 教授 执笔 ， 并 负责 全 书 的 统 稿 
和 主编 工作 ; 第 6 章 和 第 7 章 由 王 兰 波 副教授 执笔 ， 并 负责 副 主编 工作 ; 第 3 章 由 李 康 老 
师 执笔 第 4 章 和 第 8 章 由 许 丽 娟 讲师 执笔 ; 第 5 章 和 第 9 章 由 师 平 讲师 执笔 ， 并 负责 全 
书 电 子 教案 的 制作 。 

在 本 书 的 立项 、 大 纲 编写 和 内 容 的 确定 以 及 全 书 的 编写 过 程 中 得 到 了 清华 大 学 出 版 社 
各 位 老师 的 大 力 支持 和 帮助 ， 在 此 表示 亦 心 的 感谢 。 同 时 ， 对 曾 参与 制定 本 书 大 纲 及 为 本 
书 提 供 过 宝 贵 意见 和 建议 的 老师 和 同学 同样 表示 衷心 的 感谢 。 

由 于 作者 水 平 有 限 ， 书 中 难免 存在 错误 之 处 ， 奶 请 广大 读者 批评 指正 。 
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本 章 学 习 要 求 : 


(1) 掌握 
(2) 掌握 
(3) 掌握 
(4) 掌握 
(5) 了 解 


网 络 安全 定义 及 其 特征 。 
网 络 安全 漏洞 。 

网 络 安全 威胁 。 

网 络 安全 的 体系 结构 。 


网 络 安 全 措施 。 


(6) 了 解 其 他 国家 信息 安全 评价 标准 。 
(7) 了 解 我 国信 息 安全 评价 标准 。 


有 


(1) 重点 : 
(2) 难点 : 


随 着 Internet 的 迅速 发 展 、 广 泛 应 用 ， 网 络 的 触角 深入 到 政治 、 
识 形 态 和 社会 生活 等 各 个 方面 ， 其 影响 与 日 俱 增 、 无 处 不 在 ， 由 此 也 宣告 


oS 


掌握 网 络 安全 的 定义 、 特 征 、 漏 洞 和 威胁 。 
掌握 网 络 安全 的 体系 结构 概念 。 


论 


经 济 、 文 化 、 军 事 、 意 
了 网 络 社会 化 时 


代 的 到 来 。 在 我 们 尽情 享受 网 络 带 来 的 快捷 、 便 利 服务 的 同时 ， 全 球 范围 内 针对 重要 信息 
资源 和 网 络 基础 设施 的 入 侵 行为 和 企图 入 侵 行为 的 数量 也 在 持续 不 断 增加 ， 对 国家 安全 、 


经 济 和 社会 生活 造成 了 极 大 的 威胁 。 


因此 ,网 络 安全 已 成 为 当今 世界 各 国共 同 关注 的 焦点 。 


事实 上 ， 资 源 共享 和 网 络 安全 本 身 就 是 相互 矛盾 的 ， 随 着 资源 共享 的 加 强 ， 网 络 安全 


问题 必然 日 益 突出 。 因 此 ， 如 何 使 计算 机 网 络 系统 不 受 破坏 ， 提 高 系统 的 安全 性 


已 成 为 人 


们 关注 且 必须 认真 对 待 的 问题 。 每 个 计算 机 用 户 都 应 该 掌握 一 定 的 计算 机 网 络 安全 技术 ， 
以 使 自己 的 信息 系统 能 够 安全 、 稳 定 地 运行 。 
网 络 安全 问题 涉及 到 数据 加 密 技术 、 网 络 操作 系统 、 数 据 库 与 数据 访问 技术 、PKI 技 


术 、 防 火 墙 工作 原理 及 应 用 、 


将 在 以 后 各 章 中 一 一 介绍 。 


计算 机 病毒 防治 、 入 侵 检测 系统 、Internet 安全 等 内 容 ， 我 们 
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1.1 计算 机 网 络 安 全 基本 概念 


1.1.1 什么 是 网 络 安全 


所 谓 “ 安 全 ”字典 中 的 定义 是 为 防范 闻 谋 活动 或 普 意 破坏 、 犯罪 、 攻 击 而 采取 的 措施 。 
将 安全 的 一 般 含义 限定 在 计算 机 网 络 范畴 ， 网 络 安全 就 是 为 防范 计算 机 网 络 硬件 、 软 件 、 
数据 偶然 或 蓄意 被 破坏 、 自 改 、 窃 听 、 假 冒 、 汇 圳 、 非 法 访问 并 保护 网 络 系统 持续 有 效 工 
作 的 措施 总 和 。 

1. 网 络 安全 保护 范围 

网 络 安全 与 信息 安全 、 计 算 机 系统 安全 和 密码 安全 密切 相关 ， 但 涉及 的 保护 范围 不 同 。 
信息 安全 所 涉及 的 保护 范围 包括 所 有 信息 资源 ;计算 机 系 
统 安全 将 保护 范围 限定 在 计算 机 系统 硬件 、 软 件 、 文 件 和 
数据 范畴 ， 安 全 措施 通过 限制 使 用 计算 机 的 物理 场所 和 利 
用 专用 软件 或 操作 系统 来 实现 ， 密 码 安全 是 信息 安全 、 网 计算 机 系统 安全 
络 安全 和 计算 机 系统 安全 的 基础 与 核心 ， 也 是 身份 认证 、 
访问 控制 、 拒 绝 否 认 和 防止 信息 窗 取 的 有 效 手 段 。 网 络 安 
全 与 信息 安全 、 计算 机 系统 安全 和 密码 安全 的 关系 如 图 1-1 


图 1-1 网 络 安全 保护 范围 


所 示 。 
2. 网 络 安全 侧重 点 
事实 上 , 网 络 安 全 也 可 以 看 成 是 计算 机 网 络 上 的 信息 安全 ， 凡 涉及 网 络 信 息 的 可 靠 性 、 


保密 性 、 完 整 性 、 有 效 性 、 可 控 性 和 拒绝 否认 性 的 理论 、 技 术 与 管理 都 属于 网 络 安 全 的 研 
究 范畴 ， 只 是 不 同人 员 或 部 门 对 网 络 安全 关注 的 侧重 点 有 所 不 同 。 网 络 安全 研究 人 员 更 关 
注 从 理论 上 采用 数学 方法 精确 描述 安全 属性 ， 通 过 安全 模型 来 解决 网 络 安全 问题 。 网 络 安 
全 工程 人 员 则 从 实际 应 用 角度 出 发 ， 对 成 熟 的 网 络 安全 解决 方案 和 新 型 网 络 安全 产品 更 感 
兴趣 ， 注 重 于 各 种 安全 防范 工具 、 操 作 系 统 防护 技术 和 安全 应 急 处 理 措施 。 网 络 安全 评估 
人 员 较 多 关注 的 是 网 络 安全 评价 标准 、 安 全 等 级 划分 、 安 全 产品 测评 方法 与 工具 、 网 络 信 
息 采集 以 及 网 络 攻击 技术 。 网 络 管理 或 网 络 安全 管理 人 员 通 常 更 关心 网 络 安全 管理 策略 、 
身份 认证 、 访 问 控制 、 入 侵 检测 、 网 络 安全 审计 、 网 络 安全 应 急 响 应 和 计算 机 病毒 防治 等 
安全 技术 ， 因 为 他 们 的 主要 职责 便 是 配置 与 维护 网 络 ， 即 在 保护 授权 用 户 方便 快捷 地 访问 
网 络 资源 的 同时 ， 必 须 防 范 非法 访问 、 病 毒 感染 、 黑 客 攻击 、 服 务 中 断 和 垃圾 邮件 等 各 种 
威胁 ， 一 旦 系统 遭 到 破坏 ， 造 成 数据 或 文件 丢失 ， 能 够 采取 相应 的 网 络 安全 应 急 响 应 措施 
予以 补救 。 对 国家 安全 保密 部 门 来 说 ， 必 须 了 解 网 络 信 息 泄露 、 窃 听 和 过 滤 的 各 种 技术 手 
段 ， 避 免 涉 及 国家 政治 、 军 事 、 经 济 等 重要 机 密 信 息 的 无 意 或 有 意 泄露 ;抑制 和 过 滤 威胁 
国家 安全 的 反动 与 政教 等 意识 形态 信息 传播 ， 以 免 给 国家 的 稳定 带 来 不 利 的 影响 ， 甚 至 危 
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害 到 国家 安全 。 对 公共 安全 部 门 而 言 ， 应 当 熟 悉 国家 和 行业 部 门 颁布 的 常用 网 络 安全 监察 
法 律 法 规 、 网 络 安全 取证 、 网 络 安全 审计 、 知 识 产 权 保 护 、 社 会 文化 安全 等 技术 ， 一 旦 发 
现 窃取 或 破坏 商业 机 密 信 息 、 软 件 盗版 、 电 子 出 版 物 侵权 、 色 情 与 暴力 信息 传播 等 各 种 网 
络 违法 犯罪 行为 ， 能 够 取得 可 信 的 、 完 整 的 、 准 确 的 、 符 合 国家 法 律 法 规 的 诉讼 证 据 。 军 
事 人 员 则 更 关心 信息 对 抗 、 信 息 加 密 、 安 全 通信 协议 、 无 线 网 络 安 全 、 入 侵 攻击 和 网 络 病 
毒 传播 等 网 络 安全 综合 技术 ， 以 此 夺取 网 络 信息 优势 、 扰 乱 政 方 指挥 系统 、 摧 毁 敌 方 网 络 
基础 设施 ， 打 赢 未 来 信息 战争 。 当 然 ， 并 非 只 有 这 些 专 业 部 门 、 人 员 需 要 关注 网 络 安全 问 
题 ， 我 们 每 个 人 都 无 法 置身 度 外 。 在 网 络 为 工作 、 生 活 和 学 习 带 来 便捷 的 同时 ， 我 们 更 加 
关心 如 何 保护 个 人 隐私 和 商业 信息 不 被 窃取 、 自 改 、 破 坏 和 非法 存 取 ， 确 保 网 络 信息 的 保 
密 性 、 完 整 性 、 有 效 性 和 拒绝 否认 性 。 


1.1.2 网 络 安 全 目标 


网 络 安全 的 最 终 目 标 就 是 通过 各 种 技术 与 管理 手段 实现 网 络 信息 系统 的 可 靠 性 、 保 密 
性 、 完 整 性 、 有 效 性 、 可 控 性 和 拒绝 否认 性 。 可 靠 性 (Reliability) 是 所 有 信息 系统 正常 运 
行 的 基本 前 提 ， 通 常 指 信息 系统 能 够 在 规定 的 条 件 与 时 间 内 完成 规定 功能 的 特性 。 可 控 性 
(Controllability》 是 指 信息 系统 对 信息 内 容 和 传输 具有 控制 能 力 的 特性 。 拒 绝 否 认 性 
CNo-repudiation) 也 称 为 不 可 抵赖 性 或 不 可 否认 性 ， 是 指 通信 双方 不 能 抵赖 或 否认 已 完成 
的 操作 和 承诺 〈 如 利用 数字 签名 防止 通信 双方 否认 曾经 发 送 和 接收 信息 的 事实 )。 在 多 数 情 
况 下 ， 网 络 安全 更 侧重 强调 网 络 信息 的 保密 性 、 完 整 性 和 有 效 性 。 

1. 保密 性 

保密 性 〈Confidentiality) 是 指 信息 系统 防止 信息 非法 泄露 的 特性 ， 信 息 只 限于 授权 用 
户 使 用 。 保 密 性 主要 通过 信息 加 密 、 身 份 认证 、 访 问 控制 、 安 全 通信 协议 等 技术 实现 。 信 
息 加 密 是 防止 信息 非法 泄露 的 最 基本 手段 。 口 令 加 密 可 以 防止 密码 被 盗 ， 保 护 密码 是 防止 
信息 泄露 的 关键 。 如 果 密 码 以 明文 形式 传输 ， 在 网 络 上 窃取 密码 非常 简便 ， 轻 而 易 举 就 可 
以 办 到 。 事 实 上 ， 大 多 数 网 络 安全 防护 系统 都 采用 了 基于 密码 的 技术 ， 密 码 一旦 泄露 ， 就 
意味 着 整个 安全 防护 系统 的 全 面 崩 省 。 机 密 文件 和 重要 电子 邮件 在 Internet 上 传输 也 需要 加 
密 ， 加 密 后 的 文件 和 邮件 即使 被 动 持 ， 尽 管 多 数 加 密 算法 是 公开 的 ， 但 由 于 没有 正确 密 钥 
进行 解密 ， 动 持 的 密 文 仍然 是 不 可 读 的 。 此 外 ， 机 密 文 件 即使 不 在 网 络 上 传输 ， 也 应 该 进 
行 加 密 ， 否 则 窃取 密码 就 可 以 获得 机 密 文件 。 对 机 密 文件 加 密 ， 可 以 提供 双重 保护 。 

2. 完整 性 

完整 性 〈Integrity) 是 指 信息 未 经 授权 不 能 改变 的 特性 。 完 整 性 与 保密 性 强调 的 侧重 点 
不 同 ， 保 密 性 强调 信息 不 能 非法 泄露 ， 而 完整 性 强调 信息 在 存储 和 传输 过 程 中 不 能 被 偶然 
或 蓄意 修改 、 删 除 、 伪 造 、 添 加 、 破 坏 或 丢失 ,信息 在 存储 和 传输 过 程 中 必须 保持 原样 。 
信息 完整 性 表明 了 信息 的 可 靠 性 、 正 确 性 、 有 效 性 和 一 致 性 ， 只 有 完整 的 信息 才 是 可 信任 
的 信息 。 影 响 信息 完整 性 的 因素 主要 有 硬件 故障 、 软 件 故障 、 网 络 故障 、 灾 害 事件 、 入 侵 
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攻击 和 计算 机 病毒 等 。 保 障 信息 完整 性 的 技术 主要 有 安全 通信 协议 、 密 码 校 验 和 数字 签名 
等 。 实 际 上 ， 数 据 备份 是 防范 信息 完整 性 受到 破坏 的 最 有 效 恢 复 手 段 。 

3. 有效 性 

有 效 性 〈Availability) 是 指 信息 资源 容许 授权 用 户 按 需 访 问 的 特性 〈 信 息 系 统 面 向 用 
户 服 务 的 安全 特性 )。 信息 系统 只 有 持续 有 效 ， 授权 用 户 才 能 随时 、 随 地 根据 自己 的 需要 访 
问 信息 系统 提供 的 服务 。 有 效 性 在 强调 面向 用 户 服务 的 同时 ， 还 必须 进行 身份 认证 与 访问 
控制 ， 只 有 合法 用 户 才 能 访问 限定 权限 的 信息 资源 。 一 般 而 言 ， 如 果 网 络 信息 系统 能 够 满 
足 保密 性 、 完 整 性 和 有 效 性 3 个 安全 目标 ， 在 通常 意义 下 就 可 认为 信息 系统 是 安全 的 。 


1.1.3 网络 安全 的 将 征 


网 络 安全 主要 涉及 系统 的 可 靠 性 ， 软 件 及 数据 的 完整 性 、 可 用 性 和 保密 性 等 几 方面 。 

(1) 网络 系 统 的 可 靠 性 〈Reliability) 

网 络 系统 的 可 靠 性 是 指 保证 网 络 系统 不 因 各 种 因素 的 影响 而 中 断 正 常 工作 。 

(2) 软件 及 数据 的 完整 性 〈Integrity) 

软件 及 数据 的 完整 性 是 指 保护 网 络 系统 中 存储 和 传输 的 软件 〈 程 序 ) 及 数据 不 被 非法 
操作 ， 即 保证 数据 不 被 插入 、 蔡 换 和 删除 ， 数 据 分 组 不 丢失 、 乱 序 以 及 数据 库 中 的 数据 或 
系统 中 的 程序 不 被 破坏 等 。 

(3) 软件 及 数据 的 可 用 性 (Availability) 

软件 及 数据 的 可 用 性 是 指 在 保证 软件 和 数据 完整 性 的 同时 ， 还 要 使 其 可 被 正常 利用 和 
操作 。 

(4) 软件 及 数据 的 保密 性 (Confidentiality) 

软件 及 数据 的 保密 主要 是 指 利用 密码 技术 对 软件 和 数据 进行 加 密 处 理 ， 保 证 在 系统 中 
存储 和 在 网 络 上 传输 的 软件 和 数据 不 被 无 关 人 员 识 破 。 


1.1.4 网 络 安全 策略 


网 络 安全 策略 是 保障 机 构 网 络 安全 的 指导 文件 。 一 般 而 言 ， 网 络 安全 策略 包括 总 体 安 
全 策略 和 具体 安全 管理 实施 细则 。 总 体 安全 策略 用 于 构建 机 构 网 络 安全 框架 和 战略 指导 广 
针 ， 包 括 分 析 安 全 需求 、 分 析 安 全 威胁 、 定 义 安全 目标 、 确 定安 全 保护 范围 、 分 配 部 门 责 
任 、 配 备 人 力 物 力 、 确 认 违反 策略 的 行为 和 相应 的 制裁 措施 。 总 体 安全 策略 只 是 一 个 安全 
指导 思想 ， 还 不 能 具体 实施 ， 在 总 体 安全 策略 框架 下 针对 特定 应 用 制定 的 安全 管理 细则 才 
规定 了 具体 的 实施 方法 和 内 容 。 

1， 安 全 策略 总 则 


无 论 是 制定 总 体 安全 策略 ， 还 是 制定 安全 管理 实施 细则 ， 都 应 当 根 据 网 络 安全 特点 遵 
守 均 衡 性 、 时 效 性 和 最 小 限度 原则 。 
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(1) 均衡 性 原则 

由 于 软件 漏洞 、 协 议 漏洞 、 管 理 漏洞 和 网 络 威胁 永远 不 可 能 消除 ， 网 络 安全 必定 是 计 
算 机 网 络 的 永恒 主题 。 无 论 制定 多 么 完善 的 网 络 安全 策略 ， 还 是 使 用 多 么 先进 的 网 络 安全 
技术 ， 网络 安全 也 只 是 一 个 相对 概念 ， 因 为 世上 没有 绝对 的 安全 系统 。 此 外 ， 网 络 易 用 性 、 
网 络 效能 与 安全 强度 是 一 对 天 生 的 矛盾 。 夸 大 网 络 安全 漏洞 和 威胁 不 仅 会 浪费 大 量 投 资 ， 
而 且 会 降低 网 络 易 用 性 和 网 络 效能 ， 甚 至 有 可 能 引入 新 的 不 稳定 因素 和 安全 隐患 。 忽 视 网 
络 安全 比 夸大 网 络 安全 更 加 严重 ， 有 可 能 造成 机 构 或 国家 重大 经 济 损失 ， 甚 至 威胁 到 国家 
安全 。 因 此 ， 网 络 安全 策略 需要 在 安全 需求 、 易 用 性 、 效 能 和 安全 成 本 之 间 保 持 相对 平衡 ， 
科学 制定 均衡 的 网 络 安全 策略 是 提高 投资 回报 和 充分 发 挥 网 络 效能 的 关键 。 

(2) 时 效 性 原则 

由 于 影响 网 络 安全 的 因素 随时 间 有 所 变化 ， 导 致 网 络 安全 问题 具有 显著 的 时 效 性 。 例 
如 ， 网 络 用 户 增加 、 信 任 关系 发 生变 化 、 网 络 规模 扩大 、 新 安全 漏洞 和 攻击 方法 不 断 暴 露 
都 是 影响 网 络 安全 的 重要 因素 。 因 此 ， 网 络 安全 策略 必须 考虑 环境 随时 间 的 变化 。 

(3) 最 小 限度 原则 

网 络 系统 提供 的 服务 越 多 ， 安 全 漏洞 和 威胁 也 就 越 多 。 因 此 ， 应 当 关 闭 网 络 安全 策略 
中 没有 规定 的 网 络 服务 ， 以 最 小 限度 原则 配置 满足 安全 策略 定义 的 用 户 权限 ; 及 时 删除 无 
用 账号 和 主机 信任 关系 ， 将 威胁 网 络 安 全 的 风险 降 至 最 低 。 

2. 安全 策略 内 容 


一 般 而 言 ， 大 多 数 网 络 都 是 由 网 络 硬 件 、 网 络 连 接 、 操 作 系 统 、 网 络 服 务 和 数据 组 成 ， 
网 络 管理 员 或 安全 管理 员 负 责 安全 策略 的 实施 ， 网 络 用 户 则 应 当 严 格 按 照 安 全 策略 的 规定 
使 用 网 络 提供 的 服务 。 因 此 ， 在 考虑 网 络 整体 安全 问题 时 应 主要 从 网 络 硬件 、 网 络 连 接 、 
操作 系统 、 网 络 服务 、 数 据 、 安 全 管理 责任 和 网 络 用户 儿 方面 着 手 。 

(1) 网 络 硬件 物理 安全 

核心 网 络 设备 和 服务 器 应 当 设 置 防盗 、 防 火 、 防 水 、 防 毁 等 物理 安全 设施 以 及 温度 、 
湿度 、 洁 净 、 供 电 等 环境 安全 设施 。 例 如 ， 每 年 因 雷 电击 毁 网 络 设施 的 事例 层出不穷 ， 这 
就 要 求 位 于 雷电 活动 频繁 地 区 的 网 络 基础 设施 必须 配备 良好 的 防 雷 与 接地 装置 。 在 规划 物 
理 安全 设施 时 可 参考 《电子 计算 机 机 房 设 计 规范 》(GB 50174 一 1993)、《 计 算 站 场地 安全 要 
求 》(GB 9361 一 1988)、《 建 筑 物 电子 信息 系统 防 雷 技术 规范 》(GB 50343 一 2004)、《 计 算 
站 场地 技术 条 件 》(GB 2887 一 1989)、《 计 算 机 机 房 用 活动 地 板 技术 条 件 》(GB 6650 一 1986) 
等 国家 技术 标准 。 

核心 网 络 设备 和 服务 器 最 好 集中 放置 在 中 心机 房 ， 其 优点 是 便于 管理 与 维护 ， 也 容易 
保障 设备 的 物理 安全 ， 更 重要 的 是 能 够 防止 直接 通过 端口 窃取 重要 资料 。 防 止 信息 空间 扩 
散 也 是 规划 物理 安全 的 重要 内 容 ， 除 光纤 之 外 的 各 种 通信 介质 、 显 示 器 以 及 设备 电缆 接口 
都 不 同 程度 地 存在 电磁 辐射 现象 ， 利 用 高 性 能 电磁 监测 和 协议 分 析 仪 有 可 能 在 几 百 米 范围 
内 将 信息 复原 ， 对 于 涉及 国家 机 密 的 信息 必须 考虑 电磁 泄露 防护 技术 。 例 如 ， 铺 设 电缆 采 
用 金属 导管 屏蔽 ， 计 算 机 和 显示 器 最 好 使 用 符合 美国 瞬 态 电磁 脉冲 辐射 标准 TEMPEST 
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(Transient Electromagnetic Pulse Emanation Standard, 美国 国家 安全 部 制定 的 计算 机 信息 泄 
漏 安全 防护 标准 ) 的 产品 ， 尽 可 能 减 小 因 电磁 辐射 导致 失 密 的 危险 。 我 国 也 先后 颁布 了 国 
家 公共 安全 保密 标准 《计算 机 信息 系统 设备 电磁 泄漏 发 射 限 值 》(GGBBI 一 1999)、《 计 算 机 
信息 系统 设备 电磁 泄漏 发 射 测试 方法 》(GGBB2 一 1999) 和 国家 保密 标准 《 涉 密 信息 设备 
使 用 现场 的 电磁 泄漏 发 射 防 护 要 求 》(BMB5 一 2000)。 

(2) 网 络 连接 安全 

网 络 连接 安全 主要 考虑 网 络 边界 的 安全 , 例如 , 内 部 网 (Intranet) 与 外 部 网 (Extranet)、 
Internet 有 连接 需求 ， 可 使 用 防火 墙 和 入 侵 检 测 技术 双 层 安 全 机 制 来 保障 网 络 边界 的 安全 。 
内 部 网 安全 主要 通过 操作 系统 安全 和 数据 安全 策略 来 保障 ; 由 于 网 络 地 址 转换 (Network 
Address Translator, NAT ) 技 术 能 够 对 Internet 屏蔽 内 部 网 地 址 , 必要 时 也 可 以 考虑 使 用 NAT 
保护 内 部 网 私有 下 地 址 。 

对 网 络 安全 有 特殊 要 求 的 内 部 网 最 好 使 用 物理 隔离 技术 保障 网 络 边界 的 安全 。 根 据 安 
全 需求 ， 可 以 采用 固定 公用 主机 、 双 主机 或 一 机 两 用 等 不 同 物理 隔离 方案 。 固 定 公 用 主机 

与 内 部 网 无 连接 ， 专 用 于 访问 Internet， 虽 然 使 用 不 够 方便 ， 但 能 够 确保 内 部 主机 信息 的 保 
密 性 。 双 主机 指 在 一 个 机 箱 中 配备 两 块 主板 、 两 块 网 卡 和 两 个 硬盘 ， 在 启动 时 由 用 户 选 择 
内 部 网 或 Internet 连接 , 较 好 地 解决 了 安全 性 与 方便 性 的 矛盾 。 一 机 两 用 隔离 方案 由 用 户 选 
择 接 入 内 部 网 或 nternet， 但 不 能 同时 接 入 两 个 网 络 ， 虽 然 成 本 低廉 、 使 用 方便 ， 但 仍然 存 
在 泄密 的 可 能 性 。 

(3) 操作 系统 安全 

操作 系统 安全 应 重点 考虑 计算 机 病毒 、 特 洛 伊 木马 〈Trojan Horse) 和 入 侵 攻 击 威胁 。 
计算 机 病毒 是 隐藏 在 计算 机 系统 中 的 程序 ， 具 有 自我 繁殖 、 相 互感 染 、 激 活 再 生 、 隐 藏 寄 
生 、 迅 速 传播 等 特点 ; 以 降低 计算 机 系统 性 能 、 破 坏 系统 内 部 信息 或 破坏 计算 机 系统 运行 
为 目的 。 截 至 目前 ， 已 发 现 有 两 万 多 种 不 同类 型 的 病毒 。 病 毒 传播 途径 已 经 从 移动 存储 介 
质 转向 Internet， 在 网 络 中 以 指数 增长 规律 迅速 扩散 ， 诸 如 邮件 病毒 、Java 病毒 和 ActiveX 
病毒 都 给 网 络 病毒 防治 带 来 了 新 的 挑战 。 而 “特洛伊 木马 ”与 计算 机 病毒 不 同 ， 它 是 一 种 
未 经 用 户 同意 私自 驻 留 在 正常 程序 内 部 、 以 穷 取 用 户 资料 为 目的 的 间谍 程序 。 

目前 并 没有 特别 有 效 的 计算 机 病毒 和 “特洛伊 木马 ”程序 防治 手段 ， 主 要 还 是 通过 
提高 病毒 防范 意识 、 严 格 安全 管理 、 安 装 性 能 优异 的 防 、 杀 病毒 软件 及 “特洛伊 木马 ” 专 
杀 软 件 来 尽 可 能 减少 病毒 与 木马 入 侵 的 机 会 。 操 作 系统 漏洞 为 入 侵 攻 击 提供 了 条 件 ， 因 此 
经 常 升级 操作 系统 、 防 病毒 软件 和 木马 专 杀 软 件 是 提高 操作 系统 安全 性 的 最 有 效 、 最 简便 
方法 。 

(4) 网 络 服务 安全 

目前 ， 网 络 提供 的 电子 邮件 、 文 件 传输 、Usenet 新 闻 组 、 远 程 登 录 、 域 名 查询 (虽然 
用 户 并 不 直接 使 用 域名 查询 服务 , 但 域名 查询 通过 将 主机 名 转换 成 主机 IP 地 址 为 其 他 网 络 
服务 芮 定 了 基础 )、 网 络 打印 和 WWW (World Wide Web) 服务 都 存在 大 量 的 安全 隐患 。 由 
于 不 同 网 络 服务 的 安全 隐患 和 安全 措施 不 同 ， 应 当 在 分 析 网 络 服务 风险 的 基础 上 ， 为 每 一 
种 网 络 服务 分 别 制定 相应 的 安全 策略 细则 。 
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(5) 数据 安全 


根据 数据 机 密 性 和 重要 性 的 不 同 ， 一 般 将 数据 分 为 关键 数据 、 重 要 数据 、 有 用 数据 和 
非 重 要 数据 ， 以 便 对 不 同类 型 数据 采取 不 同 的 保护 措施 。 关 键 数 据 是 指 直接 影响 网 络 系统 
正常 运行 或 无 法 再 次 得 到 的 数据 ， 例 如 操作 系统 和 关键 应 用 程序 等 ， 重 要 数据 是 指 具有 很 
高 机 密 性 或 高 使 用 价值 的 数据 ， 例 如 国防 或 国家 安全 部 门 涉及 国家 机 密 的 数据 、 金 融 部 门 
涉及 用 户 的 账目 数据 等 ， 有 用 数据 一 般 是 指 网 络 系统 经 常 使 用 但 可 以 从 其 他 地 方 复制 的 数 
据 ， 非 重要 数据 则 是 很 少 使 用 而 且 很 容易 得 到 的 数据 。 由 于 任何 安全 措施 都 不 可 能 保证 网 
络 绝对 安全 或 不 发 生 故 障 ， 在 网 络 安全 策略 中 除 考 虑 重要 数据 加 密 之 外 ， 还 必须 考虑 关键 
数据 和 重要 数据 的 备份 。 

目前 数据 备份 使 用 的 介质 主要 是 磁带 、 硬 盘 和 光盘 。 因 磁带 具有 容量 大 、 技 术 成 熟 、 
成 本 低廉 等 优点 ， 大 容量 数据 备份 多 选用 磁带 存储 介质 。 随 着 硬盘 价格 不 断 下 降 ， 网 络 服 
务 器 转 而 采用 硬盘 作为 存储 介质 。 目 前 流行 的 硬盘 数据 备份 技术 主要 有 磁盘 镜像 和 元 余 磁 
得 阵列 (Redundant Arrays of Inexpensive Disks，RAID )。 磁 盘 镜像 技术 能 够 将 数据 同时 写 
入 型 号 与 格式 相同 的 主 磁盘 和 辅助 磁盘 , 而 RAID 是 专用 服务 器 广泛 使 用 的 磁盘 容错 技术 。 
大 型 网 络 常 采用 光盘 库 、 光 盘 阵 列 和 光盘 塔 作为 存储 设备 ， 但 光盘 特别 容易 划 伤 ， 导 致 数 
据 读 出 错误 ， 因 此 数据 备份 使 用 更 多 的 还 是 磁带 和 硬盘 存储 介质 。 

(6) 安全 管理 责任 

由 于 人 是 制定 和 执行 网 络 安全 策略 的 主体 ， 所 以 必须 明确 网 络 安全 管理 责任 人 。 小 型 
网 络 可 由 网 络 管理 员 兼 任 网 络 安全 管理 职责 ， 但 大 型 网 络 、 电 子 政务 、 电 子 商务 、 电 子 银 
行 或 其 他 要 害 部 门 的 网 络 应 配备 专职 网 络 安全 管理 责任 人 。 网 络 安全 管理 采用 技术 与 行政 
相 结合 的 手段 ， 主 要 对 授权 、 用 户 和 资源 进行 管理 ， 其 中 授权 是 网 络 安全 管理 的 重点 。 安 
全 管理 责任 包括 行政 职责 、 网 络 设备 、 网 络 监控 、 系 统 软件 、 应 用 软件 、 系 统 维护 、 数 据 
备份 、 操 作 规程 、 安 全 审计 、 病 毒 防治 、 入 侵 跟 踪 、 恢 复 措 施 、 内 部 人 员 和 网 络 用 户 等 与 
网 络 安全 相关 的 各 种 功能 。 

(7) 网 络 用 户 安全 责任 

网 络 安全 不 只 是 网 络 安全 管理 员 的 事 ， 网 络 用 户 对 网 络 安全 也 负 有 不 可 推卸 的 责任 。 
网 络 用 户 应 特别 注意 不 能 私自 将 调制 解 调 器 (Modem ) 接 入 Internet; 不 要 下 载 未 经 安全 认 
证 的 软件 和 插件 ， 确 保本 机 没有 安装 文件 和 打印 机 共享 服务 ;不 要 使 用 脆弱 性 口令 ;经 常 
更 换 口 令 等 。 


1.1.5 下 一 代 网 络 安全 


网 络 安全 威胁 多 种 多 样 ， 随 着 环境 的 变化 和 技术 的 发 展 ， 其 形式 和 手段 也 在 不 断 变化 。 
经 典 网 络 安全 技术 以 威胁 为 出 发 点 而 设计 ， 对 于 威胁 的 多 样 性 和 不 断 变化 的 特性 有 着 明显 
的 局 限 性 。 从 网 络 系统 业务 出 发 、 以 管理 和 监控 为 核心 手段 、 以 经 典 网 络 安全 技术 为 重要 
补充 的 网 络 安全 技术 和 方案 成 为 近 几 年 网 络 安全 技术 发 展 的 主流 。 
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1. 下 一 代 网 络 安全 体系 


下 一 代 网 络 安全 技术 既 吸 纳 了 传统 网 络 安 
全 技术 中 最 精华 的 部 分 也 发 展 了 大 部 分 有 价值 
的 方法 ， 同 时 创新 了 许多 新 的 问题 解决 思路 。 从 
网 络 系统 的 业务 和 结构 特点 出 发 ， 以 综合 增强 网 
络 系统 的 安全 性 能 为 目的 是 下 一 代 网 络 安全 技 
术 解 决 网 络 安全 问题 的 基本 思想 。 下 一 代 网 络 安 
全 技术 体系 如 图 1-2 所 示 。 图 1-2 下 一 代 网 络 安全 技术 体系 

图 1-2 中 4 类 不 同 解决 网 络 安全 的 技术 代表 了 下 一 代 网 络 安全 技术 的 4 种 相辅相成 的 
不 同 思路 。 网 络 安全 设备 技术 是 从 网 络 系统 不 同 环节 ， 以 专用 安全 设备 和 安全 系统 的 形式 
解决 安全 问题 ;安全 网 络 设备 技术 则 立足 在 原 有 网 络 设备 的 基础 上 ， 增 强 网 络 设备 自身 的 
安全 能 力 ， 必 要 的 时 候 增 加 相应 的 安全 模块 ， 从 而 提高 网 络 系统 整体 的 安全 性 ， 使 网 络 建 
设 从 设计 开始 就 尽 可 能 成 为 安全 的 网 络 ; 针对 性 网 络 安全 防范 技术 则 是 针对 少数 流行 且 较 
难 防范 的 安全 威胁 的 专用 技术 ， 例 如 分 布 式 拒绝 服务 攻击 DDoS; 网 络 安全 管理 技术 将 管 
理 的 理念 直接 应 用 于 网 络 安全 ， 通 过 对 业务 、 网 络 设备 、 安 全 设备 、 威 胁 、 异 常 现象 、 缺 
陷 等 与 网 络 安 全 相关 因素 的 管理 ， 使 得 网 络 系统 运行 在 安全 、 可 控 的 状态 中 。 

网 络 安全 设备 、 安 全 网 络 设备 和 针对 性 网 络 安全 防范 技术 是 经 典 网 络 安全 技术 的 直接 
延伸 ， 也 是 下 一 代 网 络 安全 技术 的 基础 ， 网 络 安全 管理 则 是 下 一 代 网 络 安全 技术 的 核心 。 

2. 经 典 网 络 安全 延伸 


(1) 网 络 安全 设备 

网 络 安 全 设备 泛 指 以 专用 设备 或 专用 安全 系统 形式 、 提 供 专门 网 络 安全 服务 的 网 络 安 
全 技术 。 这 里 既 包 括 传统 的 防火 墙 技术 、VPN 技术 、IDS 和 病毒 防范 系统 等 ， 也 包括 新 发 
展 的 类 似 DDoS 攻击 防范 设备 ， 当 然 传 统 技术 的 综合 和 延伸 也 多 是 这 种 形式 。 

(2) 网 络 安全 增强 

通过 在 基础 网 络 设备 、 网 络 服务 器 系统 或 网 络 终端 上 增加 提供 安全 功能 的 软件 和 硬件 
组 件 ,提高 网 络 系统 的 安全 特性 、 抵 御 可 能 的 网 络 攻击 的 方法 , 我 们 称 之 为 网 络 安全 增强 。 
安全 增强 之 后 的 网 络 系统 通常 也 称 为 安全 网 络 系统 。 安 全 交换 机 、 安 全 路 由 器 、 安 全 服务 
器 和 安全 终端 则 是 网 络 安全 增强 的 具体 表现 形式 。 

(3) 针对 性 防范 技术 

少数 网 络 攻击 手段 威胁 大 、 易 于 实施 却 难以 防范 ， 导 致 其 经 常 发 生 ;， 而且 攻 击 所 破坏 
的 不 是 网 络 系统 中 简单 的 某 个 方面 的 安全 缺陷 ， 对 攻击 的 防范 手段 不 能 简单 地 整合 到 某 类 
提供 专门 安全 功能 的 技术 中 ， 例 如 通过 防火 墙 、VPN 来 解决 。 

有 针对 性 地 设计 专用 系统 ， 不 同 程度 地 解决 问题 ， 是 处 理 这 类 威胁 的 有 效 方法 ， 例 如 
用 以 防范 DoS 攻击 的 流量 迁移 和 过 滤 技 术 等 。 

3. 网 络 安全 管理 

网 络 管理 技术 是 网 络 维护 的 核心 技术 之 一 ， 安 全 网 管 技术 则 是 在 更 高 一 个 层面 上 【〈 安 


针对 性 网 络 
安全 防范 技术 


第 1 章 sz 


全 ) 实现 网 络 管理 和 维护 的 技术 ， 近 几 年 在 传统 网 络 管理 技术 的 基础 上 ， 对 安全 信息 的 处 
理 、 安 全 响应 模式 和 统一 协调 等 方面 发 展 较 快 。 安 全 网 管 技术 需要 应 用 多 种 不 同 的 网 络 安 
全 技术 和 设备 ， 对 网 络 系统 进行 安全 、 合 理 、 有 效 和 高 效 的 维护 和 管理 。 一 般 意义 下 ， 安 
全 网 管 技术 需要 实施 一 个 基于 多 层次 安全 防护 的 策略 ， 将 网 络 访问 控制 、 入 侵 检测 、 病 毒 
检测 和 网 络 流量 管理 等 安全 技术 应 用 到 内 部 网 中 ， 在 统一 的 管理 和 控制 下 ， 各 种 安全 技 
术 彼 此 补充 、 相 互 配 合 ， 对 网 络 行为 进行 检测 和 控制 ， 形 成 一 个 安全 策略 集中 管理 、 安 全 
检查 机 制 分 散布 置 的 分 布 式 安全 防护 体系 结构 ， 从 而 达到 对 内 部 网 进行 安全 保护 和 管理 的 
目的 。 

安全 网 络 管理 技术 牵涉 到 网 络 安全 技术 和 管理 的 方方面面 ,从 法 律 、 法 规 到 规章 制度 ， 
从 网 络 审计 、 网 络 监控 到 风险 评估 ， 乃 至 更 广义 的 防火 墙 和 IDS 系统 等 安全 设备 本 身 也 是 
安全 网 络 管理 的 一 种 手段 。 以 下 仅 对 扫描 、 监 控 和 审计 等 技术 作 进 一 步 说 明 。 

系统 和 网 络 的 扫描 和 评估 因 其 可 预知 主体 受 攻击 的 可 能 性 、 将 要 发 生 的 行为 和 产生 的 
后 果 ， 而 受到 网 络 安全 业界 的 重视 。 这 一 技术 的 应 用 可 帮助 识别 检测 对 象 的 系统 资源 ， 分 
析 这 一 资源 被 攻击 的 可 能 指数 ， 了 解 支撑 系统 本 身 的 脆弱 性 ， 评 估 所 有 存在 的 安全 风险 。 
一 些 非常 重要 的 专业 应 用 网 络 〈 例 如 银行 ) 哪怕 遭受 一 次 入 侵 ， 其 损失 也 是 无 法 承受 的 ， 
因此 对 扫描 和 评估 技术 有 着 强烈 的 需求 。 

监控 和 审计 是 与 网 络 管理 直接 挂钩 的 技术 ， 主 要 是 通过 对 网 络 通信 过 程 中 可 疑 、 有 害 
信息 或 行为 进行 记录 以 便 为 事后 处 理 提供 依据 ， 从 而 对 计算 机 网 络 犯罪 人 员 形 成 一 个 强 有 
力 的 威慑 和 最 终 达 到 提高 网 络 整体 安全 性 的 目的 。 局 域 网 监控 系统 是 网 络 监控 系统 中 的 一 
大 类 ， 能 够 提供 一 套 较 好 的 内 部 网 行为 监控 的 机 制 ， 有 效 阻止 来 自 内 部 网 的 安全 威胁 。 不 
同 企 事 业 单位 和 不 同性 质 的 网 络 所 提供 的 服务 和 业务 之 间 差 别 很 大 ， 可 能 遭受 的 网 络 安全 
威胁 不 尽 相同 ， 这 就 需要 网 络 监 控 技术 针对 不 同 的 业务 特性 进行 具体 的 监控 。 网 络 监控 技 
术 的 专业 性 很 强 ， 不 同 的 局 域 网 监控 系统 ， 其 功能 表现 可 能 完全 不 同 。 


1.2 ”网 络 安全 漏洞 与 威胁 


1.2.1 软件 漏洞 


软件 漏洞 《Flaw) 是 指 在 设计 与 编制 软件 时 没有 考虑 对 非 正常 输入 进行 处 理 或 错误 代 
码 而 造成 的 安全 隐患 ， 也 称 为 软件 脆弱 性 〈Vulnerability) 或 软件 隐 错 (Bug)。 之 所 以 产生 
软件 漏洞 ， 其 主要 原因 在 于 软件 设计 人 员 不 可 能 将 所 有 输入 都 考虑 周全 ， 因 此 任何 软件 都 
不 可 避免 地 存在 软件 漏洞 。 软 件 产品 通常 在 正式 发 布 之 前 ， 都 要 相继 发 布 a 版 本 、B 版 本 
和 Y 版 本 供 反 复 测 试 使 用 ， 目 的 就 是 为 了 尽 可 能 减少 软件 漏洞 。 

缓冲 区 溢出 、 特 殊 字 符 组 合 和 操作 系统 多 任务 竞争 是 最 常见 的 软件 漏洞 。 除 非 正常 输 
入 和 错误 代码 造成 的 软件 漏洞 之 外 ， 通 常 将 软件 配置 不 当 造 成 的 安全 隐患 也 归 类 到 软件 漏 
洞 范畴 。 例 如 ， 操 作 系统 默认 配置 、 脆 弱 性 口令 和 系统 后 门 等 都 是 攻击 首选 的 安全 漏洞 。 
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不 同 软件 、 同 一 软件 的 不 同 版 本 或 不 同 运行 环境 ， 其 软件 漏洞 各 不 相同 ， 因 此 脱离 具体 软 
件 和 运行 环境 讨论 软件 漏洞 毫 无 意义 。 此 外 ， 软 件 漏洞 具有 时 效 性 ， 随 着 软件 的 广泛 使 用 ， 
软件 漏洞 将 不 断 暴露 出 来 。 软 件 商 通常 会 发 布 软件 补丁 修补 已 发 现 的 软件 漏洞 ， 或 在 新 版 
本 中 予以 纠正 。 新 版 本 软件 在 纠正 旧版 本 软件 的 同时 ， 有 可 能 引入 新 的 软件 漏洞 。 随 着 软 
件 使 用 时 间 的 推移 ， 己 暴露 的 软件 漏洞 会 不 断 消亡 ， 新 的 软件 漏洞 将 不 断 出 现 。 


1.2.2 网络 协议 漏洞 


网 络 协议 漏洞 类 似 于 软件 漏洞 ， 是 指 网 络 通信 协议 不 完善 而 导致 的 安全 隐患 。 截 至 目 
前 ，Internet 上 广泛 使 用 的 TCP/IP 协议 族 中 几乎 所 有 协议 都 存在 安全 隐患 ， 包 括 数据 链 路 
层 的 地 址 解析 协议 (Address Resolution Protocol, ARP)、 逆向 地 址 解析 协议 (Reverse Address 
Resolution Protocol，RARP); 网 络 层 的 网 际 协议 〈JInternet Protocol，IP)、Internet 控制 报 文 
协议 (Internet Control Messages Protocol，ICMP)、Internet 组 管理 协议 (Internet Group 
Management Protocol，IGMP); 传输 层 的 传输 控制 协议 (Transfer Control Protocol，TCP)、 
用 户 数 据 报 协 议 (User Datagram Protocol，UDP)、 可 靠 数 据 协 议 (Reliable Data Protocol， 
RDP); 应 用 层 的 域名 系统 (Domain Name Systems，DNS)、 文 件 传 输 协议 (File Transfer 
Protocol，FTP)、 超 文本 传输 协议 (Hypertext Transfer Protocol，HTTP)、 简 单 邮件 传输 协 
议 (Simple Message Transfer Protocol，SMTP)、 远 程 登录 协议 Telnet 等 。 

应 用 程序 在 IEEE802.3 以 太 网 (Ethernet) 标准 上 采用 TCP/IP 协议 传送 数据 时 ， 用 户 
数据 通过 传输 层 、 网 络 层 、 数 据 链 路 层 都 要 分 别 添加 TCP、IP 和 载波 监听 多 路 访问 /冲突 检 
测 (Carrier Sense Multiple Access/Collision Detect，CSMA/CD) 头 部 信息 。 由 于 IP 数据 包 
封装 在 CSMA/CD 帧 内 ， 位 于 数据 链 路 层 的 网 络 接口 驱动 程序 并 不 清楚 有 IP 地 址 , 而 且 也 
不 理解 卫 地 址 格式 ， 而 主机 在 数据 链 路 层 采用 48 位 介质 访问 控制 MAC 硬件 地 址 实现 数 
据 通信 ,因此 在 数据 通信 之 前 必须 首先 获得 目标 主机 的 MAC 地址 ,将 源 和 目标 主机 的 MAC 
地 址 封装 在 CSMA/CD 帧 头 内 ， 最 终 才能 通过 物理 层 介 质 达 到 传送 数据 的 目的 。ARP 协议 
的 主要 任务 就 是 通过 查询 本 机 ARP 缓冲 表 来 获取 目标 卫 地 址 对 应 的 MAC 地 址 。 主 机 传送 
数据 前 ， 首 先 查 询 ARP 缓冲 表 ， 如 检索 到 目标 卫 地 址 ， 即 将 对 应 的 MAC 地 址 封装 在 帧 头 
内 ; 否则， 在 网 段 内 发 送 一 个 ARP 询问 广播 包 ， 有 具有 目标 人 P 地 址 的 主机 将 回 送 一 个 包含 
MAC 地 址 的 ARP 应 答 包 ， 源 主机 提取 目标 MAC 地 址 并 将 其 保存 到 ARP 缓冲 表 。 正 是 
ARP 协议 的 应 答 与 地 址 映射 机 制导 致 了 安全 隐患 ，ARP 应 答 包 完全 可 以 假冒 路 由 器 、 文件 
服务 器 或 数据 库 服务 器 全 地 址 ， 再 将 目标 设 定 为 某 台 主机 的 MAC 地 址 , 接收 ARP 虚假 应 
答 包 的 主机 就 会 将 路 由 器 、 文 件 服务 器 或 数据 库 服 务 器 IP 地 址 错误 地 映射 成 指定 主机 的 
MAC 地 址 , 结果 是 发 往 路 由 器 、 文 件 服务 器 或 数据 库 服务 器 的 数据 包 全 部 被 传送 到 某 台 指 
定 的 主机 。 这 种 利用 ARP 协议 应 答 与 地 址 映射 机 制 漏洞 实施 的 攻击 称 为 缓冲 中 毒 攻击 

(Cache Poisoning )。 

针对 TCP 协议 三 次 握手 初始 连接 和 应 答 每 个 接收 数据 包 安全 漏洞 , TCP 协议 漏洞 典型 

攻击 有 Land 攻击 、 会 话 支持 (Hijack) 攻击 、TCP 序列 号 猜测 攻击 、 同 步 洪流 攻击 (SYN 
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Flood)、TCP 状态 转移 和 定时 器 拒绝 服务 攻击 等 。 其中，UDP Fraggle 拒绝 服务 攻击 是 针对 
UDP 协议 漏洞 的 典型 攻击 之 一 , 首先 它 将 目标 全 地址 设置 成 目标 网 络 的 广播 地 址 , 然后 通 
过 伪造 目标 网 络 中 某 主 机 UDP 广播 数据 包 , 使 得 广播 域内 所 有 主机 向 目标 主机 发 送 错误 消 
息 ， 目 标 主 机 将 被 错误 消息 所 淹没 ， 导 致 目标 主机 发 生 拒绝 服务 。Smurf 攻击 利用 ICMP 
回复 漏洞 和 了 地 址 欺骗 能 够 使 广播 域内 数据 流量 巨 增 ， 从 而 导致 目标 主机 拒绝 为 正常 请 求 
服务 .ICMP 协议 与 卫 协议 都 位 于 网 络 层 ,但 ICMP 报 文 是 封装 在 卫 数据 报 中 传输 的 .Smurf 
攻击 类 似 于 UDP Fraggle 拒绝 服务 攻击 , 伪造 源 卫 地 址 并 将 目标 人 P 地 址 设置 成 目标 网 络 的 
广播 地 址 ， 通 过 向 广播 域 发 送 类 型 为 8、 代码 为 0 的 回应 请 求 (echo) ICMP 报 文 ， 广播 域 
内 的 所 有 主机 都 会 向 伪造 的 了 P 地 址 发 送 回 应 消息 ， 大 量 回 应 消息 不 仅 充 斥 广 播 域 , 而 且 将 
淹没 目标 主机 。 

截至 2004 年 9 月 1 日 ,专门 从 事 安 全 漏洞 名 称 标准 化 的 公共 漏洞 披露 机 构 (Common 
Vulnerability and Exposures，CVE) 已 发 布 7616 个 不 同 的 安全 漏洞 ， 而 新 的 安全 漏洞 仍 在 
不 断 被 披露 。 


1.2.3 ”安全 管理 漏洞 


软件 漏洞 和 网 络 协议 漏洞 是 天 生 具 有 的 ， 但 由 于 安全 管理 疏漏 产生 的 安全 漏洞 则 完全 
是 人 为 因素 造成 的 。 网 络 安全 技术 只 是 保证 网 络 安全 的 基础 ， 网 络 安全 管理 才 是 发 挥 网 络 
安全 技术 的 根本 保证 。 因 此 ， 网 络 安全 问题 并 不 是 一 个 纯 技 术 问题 ， 从 网 络 安全 管理 角度 
看 , 网络 安 全 首先 应 当 是 管理 问题 。 事实 上 , 国际 标准 化 组 织 (International Organization for 
Standardization，ISO) 也 是 将 网 络 管理 划分 为 故障 、 性 能 、 配 置 、 记 账 和 安全 管理 5 个 领 
域 ， 表 明 安 全 管理 是 网 络 管理 的 重要 组 成 部 分 。 

由 于 计算 机 网 络 包含 各 种 网 络 设施 、 服 务 器 、 工 作 站 和 网 络 终端 等 设备 ， 每 个 设备 又 
可 能 安装 了 不 同 操作 系统 和 应 用 软件 ， 各 自 具 有 不 同 的 安全 隐患 ， 导 致 网 络 安全 隐患 数量 
庞大 且 十 分 复杂 ， 由 此 提升 了 网 络 安全 管理 的 技术 难度 与 成 本 ， 容 易 造 成 更 多 的 安全 管理 
政 漏 。 

其 实 只 要 提高 安全 管理 意识 ， 许 多 安全 管理 漏洞 完全 可 以 避免 ， 例 如 常见 的 系统 默认 
配置 、 脆 弱 性 口令 和 信任 关系 转移 等 。 系 统 默认 配置 主要 考虑 的 是 用 户 友 好 性 ， 但 方便 使 
的 同时 也 就 意味 着 更 多 的 安全 隐患 .许多 系统 采用 123456 作为 默认 口令 ,用 Administrator 
ChangMe 作为 默认 用 户 名 ， 这些 系统 默认 配置 很 容易 被 猜测 。 许 多 用 户 习 惯 以 用 户 名 或 
户 名 的 变形 、 自 己 或 亲友 和 生日、 电话 号 码 、 身 份 证 或 员工 号 码 、 常 用 单词 等 作为 口令 ， 
事实 上 这 些 口令 都 是 典型 的 脆弱 性 口令 。 假 设 用 出 生 19xX xX (0~99) 年 XX (1~12) 月 
XX 日 (1~31) 8 位 数字 作为 口令 ， 可 能 的 组 合 数 只 有 100X 12X31=37200 种 ， 一 般 口令 
破解 软件 每 秒 至 少 可 以 搜索 4 万 种 组 合 。 通 常 8 位 以 上 、 字 母 大 小 写 和 数字 混用 的 口令 才 
是 安全 口令 。 

网 络 安全 管理 是 在 网 络 安全 策略 指导 下 为 保护 网 络 不 受 内 外 各 种 威胁 而 采取 的 一 系列 
网 络 安全 措施 ， 网 络 安全 策略 则 是 根据 网 络 安全 目标 和 网 络 应 用 环境 ， 为 提供 特定 安全 级 
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别 保护 而 必须 遵守 的 规则 。 因 此 ， 网 络 安全 策略 与 网 络 应 用 环境 密切 相关 ， 不 同 的 应 用 环 
境 需 要 制定 不 同 的 安全 策略 。 如 果 将 信任 区 的 安全 策略 应 用 到 非 信任 区 ， 必 然 会 产生 众多 
的 安全 管理 漏洞 。 如 果 将 非 信任 区 的 安全 策略 应 用 到 信任 区 ， 又 会 造成 不 必要 的 资金 浪费 。 
由 此 可 见 ， 网 络 安全 是 相对 的 ， 是 建立 在 信任 基础 之 上 的 ， 绝 对 的 网 络 安全 永远 不 存在 。 
信任 区 与 非 信任 区 ， 或 者 安全 区 与 非 安全 区 的 边界 是 基于 信任 关系 划 定 的 。 在 安全 区 内 应 
当 相 信 系 统管 理 人 员 和 内 部 用 户 不 会 滥用 特权 ， 并 且 具 有 良好 的 职业 道德 ， 但 是 当 信 任 关 
系 发 生变 化 时 ， 安 全 管理 必须 进行 及 时 调整 ， 和 否则 会 大 大 降低 整个 网 络 的 安全 性 。 


1.2.4 网 络 系统 面临 的 威胁 


网 络 系统 面临 的 威胁 主要 来 自 外 部 的 人 为 影响 和 自然 环境 的 影响 ， 其 中 包括 对 网 络 设 
备 的 威胁 和 对 网 络 中 信息 的 威胁 。 这 些 威胁 主要 表现 为 : 非法 授权 访问 、 假 冒 合法 用 户 、 
病毒 破坏 、 线 路 窗 听 、 黑 客 入 侵 、 干 扰 系统 正常 运行 、 修 改 或 删除 数据 等 。 这 些 威胁 大 致 
可 分 为 无 意 威胁 和 故意 威胁 两 大 类 。 

1. 无 意 威胁 

无 意 威胁 是 在 无 预谋 的 情况 下 破坏 系统 的 安全 性 、 可 靠 性 或 信息 的 完整 性 等 。 

无 意 威胁 主要 是 由 一 些 偶然 因素 引起 的 ， 例 如 软 、 硬 件 的 机 能 失常 ， 人 为 误 操作 ， 电 
源 故 障 和 自然 灾害 等 。 

人 为 的 失误 现象 有 : 人 为 误 操作 ， 管 理 不 善 而 造成 系统 信息 丢失 、 设 备 被 咨 、 火 灾 、 
水 灾 ， 安 全 设置 不 当 而 留 下 安全 漏洞 ， 用 户口 令 不 慎 泄 露 ， 信 息 资源 共享 设置 不 当 而 被 非 
法 用 户 访 问 等 。 

自然 灾害 威胁 是 指 由 地 震 、 风 暴 、 泥 石 流 、 洪 水 、 闪 电 雷 击 、 虫 鼠 害 及 高 温 、 各 种 污 
染 等 构成 的 威胁 。 

2. 故意 威胁 


故意 威胁 实际 上 就 是 “人 为 攻击 ”。 由 于 网 络 本 身 存在 脆弱 性 ， 因 此 总 有 某 些 人 或 某 些 
组 织 想方设法 利用 网 络 系统 达到 某 种 目的 。 例 如 ， 从 事 工业 、 商 业 或 军事 情报 搜集 工作 的 
“间谍 ” 他 们 对 相应 领域 的 网 络 信息 是 最 感 兴趣 的 ， 对 网 络 系统 的 安全 构成 了 主要 威胁 。 

攻击 者 对 系统 的 攻击 范围 从 随便 浏览 信息 到 使 用 特殊 技术 对 系统 进行 攻击 ， 以 便 得 到 
有 针对 性 的 信息 。 这 些 攻击 又 可 分 为 被 动 攻击 和 主动 攻击 。 

被 动 攻击 是 指 攻击 者 只 通过 监听 网 络 线路 上 的 信息 流 获得 信息 内 容 ， 或 获得 信息 的 长 
度 、 传 输 频 率 等 特征 ， 以 便 进 行 信息 流量 分 析 攻 击 。 被 动 攻击 不 干扰 信息 的 正常 流动 ， 如 
被 动 地 措 线 窃听 或 非 授 权 地 阅读 信息 。 被 动 攻击 破坏 了 信息 的 保密 性 。 

主动 攻击 是 指 攻击 者 对 传输 中 的 信息 或 存储 的 信息 进行 各 种 非法 处 理 , 有 选择 地 更 改 、 
插入 、 延 迟 、 删 除 或 复制 这 些 信息 。 主 动 攻击 常用 的 方法 有 自 改 程序 及 数据 、 假 冒 合 法 用 
户 入 侵 系 统 、 破 坏 软件 和 数据 、 中 断 系统 正常 运行 、 传 播 计 算 机 病毒 、 耗 尽 系统 的 服务 资 
源 而 造成 拒绝 服务 等 。 主 动 攻击 的 破坏 力 更 大 ， 直 接 威胁 到 网 络 系统 的 可 靠 性 以 及 信息 的 
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保密 性 、 完 整 性 和 可 用 性 。 


被 动 攻击 不 容易 被 检测 到 ， 因 为 它 没有 影响 信息 的 正常 传输 ， 发 送 和 接收 双方 均 不 容 
易 觉 察 ， 但 被 动 攻击 比较 容易 防范 ， 只 要 采用 加 密 技 术 将 传输 的 信息 加 密 ， 即 使 该 信息 被 
窃取 ， 非 法 接收 者 也 不 能 识别 信息 的 内 容 。 

主动 攻击 较 容 易 被 检测 到 ， 但 却 难 于 防范 。 因 为 正常 传输 的 信息 如 被 自 改 或 伪造 ， 接 
收 方 根据 经 验 和 规律 可 容易 地 觉察 出 来 。 除 采用 加 密 技 术 外 ， 还 要 采用 鉴别 技术 和 其 他 保 
护 机 制 和 措施 ， 才 能 有 效 地 防止 主动 攻击 。 

被 动 攻击 和 主动 攻击 有 以 下 4 种 具体 类 型 ， 其 中 3 种 主动 攻击 类 型 如 图 1-3 所 示 。 


和 者 [ 


[五 可 
(a) 中 断 (b) 算 改 (c) 伪造 


图 1-3 几 种 主动 攻击 方式 


(1) 窃听 (interception): 攻击 者 未 经 授权 而 浏览 了 信息 资源 。 这 是 对 信息 保密 性 的 
威胁 。 例 如 ， 通 过 搭 线 捕获 线路 上 传输 的 数据 等 

(2) 中 断 (interruption): 攻击 者 中 断 正 :党 的 信息 传输 ， 使 接收 方 收 不 到 信息 ， 正 常 
的 信息 变 得 无 用 或 无 法 利用 。 这 是 对 信息 可 用 性 的 威胁 。 例 如 ， 破 坏 存储 介质 、 切 断 通信 
线路 、 入 侵 文件 管理 系统 等 。 

(3) 算 改 (modification): 攻击 者 未 经 授权 而 访问 了 信息 资源 ， 并 算 改 了 信息 。 这 是 
对 信息 完整 性 的 威胁 。 例 如 ， 修 改 文件 中 的 数据 、 改 变 程序 功能 、 修 改 传输 的 报 文 内 容 等 。 

(4) 伪造 〈fabrication): 攻击 者 在 系统 中 加 入 了 伪造 的 内 容 。 这 也 是 对 数据 完整 性 的 
威胁 。 例 如 ， 向 网 络 用 户 发 送 虚 假 信 息 、 在 文件 中 插入 伪造 的 记录 等 。 


1.3 网络 安全 体系 结构 


网 络 安全 体系 结构 是 网 络 安全 层次 的 抽象 描述 。 在 大 规模 的 网 络 工程 建设 、 管 理 及 基 
于 网 络 安全 系统 的 设计 与 开发 过 程 中 ， 需 要 从 全 局 的 体系 结构 角度 考虑 安全 问题 的 整体 解 
决 方案 ， 才 能 保证 网 络 安全 功能 的 完备 性 和 一 致 性 ， 降 低 安全 代价 和 管理 开销 。 这 样 一 种 
网 络 安全 体系 结构 对 于 网 络 安全 解决 方案 的 设计 、 实 现 与 管理 都 有 重要 的 意义 。 

网 络 安全 是 一 个 涉及 范围 较 广 的 研究 领域 ， 人 们 一 般 都 只 是 在 该 领域 中 的 一 个 小 范围 
内 做 自己 的 研究 ， 开 发 能 够 解决 某 种 特殊 网 络 安全 问题 的 方案 。 例 如 ， 有 人 专门 研究 加 密 
和 鉴别 ， 有 人 专门 研究 入 侵 和 检测 ， 有 人 专门 研究 黑客 攻击 等 。 网 络 安全 体系 结构 就 是 从 
系统 化 的 角度 去 理解 这 些 安全 问题 的 解决 方案 ， 对 研究 、 实 现 和 管理 网 络 安全 的 工作 具有 
全 局 指导 作用 。 
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1.3.1 网络 安全 模型 


网 络 安全 的 基本 模型 如 图 1-4 所 示 。 众 所 周知 ， 通 信 双 方 在 网 络 上 传输 信息 ， 需 要 先 
在 发 、 收 方 之 间 建 立 一 条 逻辑 通道 。 这 就 要 先 确定 从 发 送 端 到 接收 端的 路 由 ， 再 选择 该 路 
由 上 使 用 的 执行 通信 的 协议 ， 例 如 TCP/IP。 


例如 ， 仲 裁 者 、 
秘密 信息 发 布 者 


报 文 
秘密 信息 


图 1-4 网 络 安全 模型 


为 了 在 开放 式 的 网 络 环境 中 安全 地 传输 信息 ， 需 要 对 信息 提供 安全 机 制 和 安全 服务 。 
信息 的 安全 传输 包括 两 个 基本 部 分 : 一 是 对 发 送 的 信息 进行 安全 转换 ， 例 如 信息 加 密 ， 以 
便 实 现 信 息 的 保密 性 ， 或 附加 一 些 特 征 码 ， 以 便 进 行 发 送 方 身份 验证 等 ， 二 是 发 、 收 双方 
共享 的 某 些 秘密 信息 ， 例 如 加 密 密 钥 ， 除 了 对 可 信任 的 第 三 方 外 ， 对 其 他 用 户 是 保密 的 。 

为 了 使 信息 安全 地 进行 传输 ， 通 常 需要 一 个 可 信任 的 第 三 方 ， 其 作用 是 负责 向 通信 双 
方 分 发 秘密 信息 ， 以 及 在 双方 发 生 争议 时 进行 仲裁 。 

一 个 安全 的 网 络 通信 方案 必须 考虑 以 下 内 容 : 
实现 与 安全 相关 的 信息 转换 的 规则 或 算法 。 

用 于 信息 转换 算法 的 秘密 信息 〈 例 如 ， 密 钥 )。 
秘密 信息 的 分 发 和 共享 。 
使 用 信息 转换 算法 和 秘密 信息 获取 安全 服务 所 需 的 协议 。 


1.3.2 网络 信 息 安 全 框架 


网 络 信息 安全 可 看 成 一 个 由 多 个 安全 单元 组 成 的 集合 。 其 中 ,每 个 单元 都 是 一 个 整体 ， 
包含 了 多 个 特性 。 一 般 来 说 ， 人 们 从 3 个 主要 特性 一 一 安全 特性 、 安 全 层次 和 系统 单元 来 
理解 安全 单元 。 该 安全 单元 集合 可 用 一 个 三 维 安全 空间 来 描述 ， 如 图 1-5 所 示 。 该 三 维 安 
全 空间 反映 了 信息 系统 安全 需求 和 安全 结构 的 共性 。 


1. 安全 特性 


安全 特性 指 的 是 该 安全 单元 可 解决 哪些 安全 威胁 。 信息 安 全 特性 包括 保密 性 、 完 整 性 、 
可 用 性 和 认证 安全 性 。 


图 1-5 网 络 信息 安全 框架 


(1) 保密 性 主要 是 指 保护 信息 在 存储 和 传输 过 程 中 不 被 未 授权 的 实体 识别 。 例 如 ， 网 
上 传输 的 信用 卡 账号 和 密码 不 被 识破 。 

(2) 完整 性 主要 指 信息 在 存储 和 传输 过 程 中 不 被 未 授权 的 实体 插入 、 删 除 、 算 改 和 重 
发 等 ， 即 信息 的 内 容 不 会 改变 。 例 如 ， 保 证 用 户 发 给 别人 的 电子 邮件 到 接收 端 时 内 容 没 有 
改变 。 

(3) 可 用 性 是 指 不 能 由 于 系统 受到 攻击 而 使 用 户 无 法 正常 去 访问 他 本 来 有 权 正 常 访问 
的 资源 。 例 如 ， 保 护 邮件 服务 器 安全 ， 保 证 其 不 会 因为 遭 到 拒绝 服务 DoS 攻击 而 无 法 正常 
工作 ， 用 户 能 正常 收发 电子 邮件 。 

(4) 认证 安全 性 是 指 通过 某 些 验 证 措施 和 技术 ,防止 无 权 访问 某 些 资源 的 实体 通过 某 
种 特殊 手段 进入 网 络 而 进行 访问 。 

2.， 系统 安全 


系统 安全 是 指 该 安全 单元 解决 什么 系统 环境 的 安全 问题 。 对 于 现代 网 络 ， 系 统 单元 涉 
及 以 下 5 个 不 同 环境 。 

(1) 物理 单元 

物理 单元 是 指 硬件 设备 、 网 络 设备 等 , 包含 该 特性 的 安全 单元 解决 物理 环境 安全 问题 。 

(2) 网 络 单元 

网 络 单元 是 指 网 络 传输 ， 包 含 该 特性 的 安全 单元 解决 网 络 协议 造成 的 网 络 传输 安全 
问题 。 

(3) 系统 单元 

系统 单元 是 指 操作 系统 ， 包 含 该 特性 的 安全 单元 解决 端 系 统 或 中 间 系 统 的 操作 系统 包 
含 的 安全 问题 (一般 是 指数 据 和 资源 在 存储 时 的 安全 问题 )。 

(4) 应 用 单元 

应 用 单元 是 指 应 用 程序 ， 包 含 该 特性 的 安全 单元 解决 应 用 程序 所 包含 的 安全 问题 。 

(5) 管理 单元 

管理 单元 是 指 网 络 安 全 管理 环境 。 网 络 管理 系统 对 网 络 资源 进行 安全 管理 。 
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1.3.3 OSI 网 络 安 全 体系 


1. OSI 概述 


OSI 参考 模型 是 国际 标准 化 组 织 (ISO ) 为 解决 异种 机 互联 而 制定 的 开放 式 计 算 机 网 络 
层次 结构 模型 ， 其 最 大 优点 是 将 服务 、 接 口 和 协议 这 3 个 概念 明确 地 区 分 开 来 。 

ISO 提出 OSI 参考 模型 的 目的 ， 就 是 要 使 在 各 种 终端 设备 之 间 、 计 算 机 之 间 、 网 络 之 
间 、 操 作 系统 进程 之 间 以 及 人 们 之 间 互 相交 换 信息 的 过 程 能 够 逐步 实现 标准 化 。 参 照 这 种 
参考 模型 进行 网 络 标准 化 的 结果 ， 就 是 使 得 各 个 系统 之 间 都 是 “开放 ”的 ， 凡 是 遵守 这 一 
标准 的 系统 之 间 都 可 以 互联 。ISO 还 希望 能 够 用 这 种 参考 模型 来 解决 不 同系 统 之 间 的 信息 
交换 问题 ， 使 不 同系 统 之 间 也 能 交互 工作 ， 以 实现 分 布 式 处 理 。 

ISO 于 1989 年 2 月 公布 的 ISO7498-2《 网 络 安全 体系 结构 》 文 件 给 出 了 OSI 参考 模型 
的 安全 体系 结构 ， 简 称 OSI 安全 体系 结构 。 这 是 一 个 普遍 适用 的 安全 体系 结构 ， 它 对 具体 
网 络 的 安全 体系 结构 具有 指导 意义 ， 其 核心 内 容 是 保证 异 构 计算 机 系统 之 间 远 距离 交换 信 
息 的 安全 。 

OSI 安全 体系 结构 主要 包括 网 络 安全 机 制 和 网 络 安全 服务 两 方面 的 内 容 ， 下 面 分 别 
介绍 。 

2. 网 络 安全 机 制 


在 ISO7498-2《 网 络 安全 体系 结构 》 文 件 中 规定 的 网 络 安全 机 制 有 8 项 : 加密 机 制 、 
数字 签名 机 制 、 访 问 控制 机 制 、 数 据 完 整 性 机 制 、 鉴 别 交 换 机 制 、 信 息 量 填充 机 制 、 路 由 
控制 机 制 和 公证 机 制 。 

(1) 加 密 机 制 

数据 加 密 是 提供 信息 保密 的 主要 方法 ， 可 保护 数据 存储 和 传输 的 保密 性 。 此 外 ， 加 密 
技术 和 其 他 技术 合作 ， 可 保证 数据 的 完整 性 。 

(2) 数字 签名 机 制 

数字 签名 可 解决 传统 手工 签名 中 存在 的 安全 缺陷 ， 在 电子 商务 中 应 用 较 广 泛 。 数 字 签 
名 主要 解决 否认 问题 (发送 方 否认 他 发 送 了 信息 )、 伪 造 问题 〈 某 方 伪造 了 文件 却 不 承认 )、 
冒充 问题 (冒充 合法 用 户 在 网 上 发 送 文件 ) 和 算 改 问题 (接收 方 私自 算 改 文件 内 容 )。 

(3) 访问 控制 机 制 

访问 控制 机 制 可 以 控制 哪些 用 户 可 以 访问 哪些 资源 , 对 这 些 资源 可 以 访问 到 什么 程度 。 
例如 ， 非 法 用 户 企图 访问 资源 ， 该 机 制 就 会 加 以 拒绝 ， 并 将 这 一 非法 事件 记录 在 审计 报告 
中 。 访 问 控制 可 以 直接 支持 数据 的 保密 性 、 完 整 性 、 可 用 性 ， 作 用 非常 明显 。 

(4) 数据 完整 性 机 制 

数据 完整 性 机 制 保护 网 络 系统 中 存储 和 传输 的 软件 〈 程 序 ) 和 数据 不 被 非法 改变 ， 例 
如 被 添加 、 删 除 、 修 改 等 。 
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(5) 交换 鉴别 机 制 

交换 鉴别 机 制 主要 是 通过 相互 交换 信息 来 确定 彼此 的 身份 。 在 计算 机 网 络 中 ， 鉴 别 主 
要 有 站 点 鉴别 、 报 文 鉴别 、 用 户 和 进程 的 认证 等 ， 通 常 采 用 口令 、 密 码 技 术 、 实 体 的 特征 
或 所 有 权 等 手段 进行 鉴别 。 

(6) 信息 流 填充 机 制 

攻击 者 对 传输 信息 的 长 度 、 频 率 等 特征 进行 统计 ， 然 后 进行 信息 流量 分 析 ， 即 可 从 中 
得 到 有 用 的 信息 。 采 用 信息 量 填充 机 制 ， 可 保持 系统 信息 量 基本 恒定 ， 因 此 能 防止 攻击 者 
对 系统 进行 信息 流量 分 析 。 

(7) 路 由 控制 机 制 

路 由 控制 机 制 可 以 指定 通过 网 络 发 送 数据 的 路 径 ， 以 便 选 择 那些 可 信 度 高 的 节点 传输 


(8) 公证 机 制 

公证 机 制 就 是 在 网 络 中 设立 一 个 公证 机 构 ， 来 中 转 各 方 交换 的 信息 ， 并 从 中 提取 相关 
证 据 ， 以 便 对 可 能 发 生 的 纠纷 作出 仲裁 。 

3. 网 络 安全 服务 


在 《网 络 安全 体系 结构 》 文 件 中 规定 的 网 络 安全 服务 有 5 项 : 鉴别 服务 、 访 问 控制 服 
务 、 数 据 完 整 性 服务 、 数 据 保 密 性 服务 和 非 否认 服务 。 

(1) 鉴别 服务 

鉴别 服务 包括 同等 实体 鉴别 和 数据 源 鉴 别 两 种 服务 。 

使 用 同等 实体 鉴别 服务 可 以 对 两 个 同等 实体 〈 用 户 或 进程 ) 在 建立 连接 和 开始 传输 数 
据 时 进行 身份 的 合法 性 和 真实 性 验证 ， 以 防止 非法 用 户 的 假冒 或 非法 用 户 伪造 连接 初始 化 
攻击 。 

数据 源 鉴别 服务 可 对 信息 源 点 进行 鉴别 ， 以 确保 数据 是 由 合法 用 户 发 出 ， 以 防 假冒 。 

(2) 访问 控制 服务 

访问 控制 包括 身份 验证 和 权限 验证 。 访 问 控 制服 务 既 可 防止 未 授权 用 户 非法 访问 网 络 
资源 ， 也 可 防止 合法 用 户 越权 访问 网 络 资源 。 

(3) 数据 完整 性 服务 

数据 完整 性 服务 旨 在 防止 非法 用 户 对 正常 数据 进行 变更 例如， 修改、 插入 、 延 时 或 
删除 )， 以 及 在 数据 交换 过 程 中 的 数据 丢失 。 数 据 完整 性 服务 可 分 为 以 下 5 种 情形 ， 通过 这 
些 服务 来 满足 不 同 用 户 、 不 同 场合 对 数据 完整 性 的 要 求 。 

@ 带 恢复 功能 的 面向 连接 的 数据 完整 性 。 

@ 不 带 恢复 功能 的 面向 连接 的 数据 完整 性 。 

@ 选择 字段 面向 连接 的 数据 完整 性 。 

@ 选择 字段 无 连接 的 数据 完整 性 。 

@ 无 连接 的 数据 完整 性 。 

(4) 数据 保密 性 服务 

采用 数据 保密 性 服务 的 目的 是 保护 网 络 中 各 通信 实体 之 间 交 换 的 数据 即使 被 非法 攻击 
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者 截获 ， 也 使 其 无 法 解读 信息 内 容 ， 以 保证 信息 不 失 密 。 该 服务 也 提供 面向 连接 和 无 连接 
两 种 数据 保密 方式 。 保 密 性 服务 还 提供 给 用 户 可 选 字 段 的 数据 保护 和 信息 流 安全 ， 即 对 可 


能 从 观察 信息 流 就 能 推导 出 的 信息 提供 保护 。 信 息 流 安 全 的 目的 是 确保 信息 从 源 点 到 目的 
点 的 整个 流通 过 程 的 安全 。 


(5) 非 否 认 服 务 

非 否认 服务 可 防止 发 送 方 发 送 数据 后 否认 自己 发 送 过 数据 ， 也 可 防止 接收 方 接收 数据 
后 否认 已 接收 过 数据 。 它 由 两 种 服务 组 成 : 一 是 发 送 〈 源 点 ) 非 否认 服务 ， 二 是 接收 〈 交 
付 ) 非 否 认 服 务 。 这 实际 上 是 一 种 数字 签名 服务 。 


1.3.4 P2DR 模型 


P2DR 模型 是 一 种 常用 的 网 络 安全 模型 ， 如 图 1-6 所 示 。 
P2DR 模型 包含 4 个 主要 部 分 : 安全 策略 、 防 护 、 检 测 和 响应 。 
防护 、 检 测 和 响应 组 成 了 一 个 所 谓 的 “完整 “动态 ”的 安 
全 循环 。 在 整体 安全 策略 的 控制 和 指导 下 ， 在 综合 运用 防护 
工具 〈 例 如 ， 防 火 墙 、 身 份 认证 、 加 密 等 手段 ) 的 同时 ， 利 
用 检测 工具 〈 例 如 ， 漏 洞 评估 、 入 侵 检 测 等 工具 ) 了 解 和 评 
估 系 统 的 安全 状态 ， 通 过 适当 的 反应 将 系统 调整 到 “最 安全 ” 
和 “风险 最 低 ” 的 状态 。P2DR 是 由 〈 了 Protection-Detection- 图 1-6 P2DR 网 络 安全 模型 
Response，PDR) 模型 引申 出 的 概念 模型 ， 增 加 了 Policy 功能 ， 并 突出 了 管理 策略 在 信息 
安全 工程 中 的 主导 地 位 。 该 模型 指出 : 安全 技术 措施 是 围绕 安全 策略 的 具体 需求 有 序 地 组 
织 在 一 起 ， 构 架 一 个 “动态 ”的 安全 防范 体系 。 

P2DR 模型 中 4 个 主要 部 分 的 内 涵 如 下 。 

1. 安全 策略 


在 考虑 建立 网 络 安全 系统 时 ， 在 了 解 了 网 络 信息 安全 系统 等 级 划分 和 评估 网 络 安全 风 
险 后 ， 接 下 来 一 个 很 重要 的 任务 就 是 要 制定 一 个 网 络 安全 策略 。 一 个 策略 体系 的 建立 包括 
安全 策略 的 制定 、 安 全 策略 的 评估 、 安 全 策略 的 执行 等 。 网 络 安全 策略 一 般 包 括 两 部 分 : 
总 体 的 安全 策略 和 具体 的 安全 规则 。 总 体 的 安全 策略 用 于 阐述 本 部 门 网 络 安全 的 总 体 思 
想 和 指导 方针 ， 而 具体 的 安全 规则 是 根据 总 体 安 全 策略 提出 的 具体 网 络 安全 实施 规则 ， 
用 于 说 明 网 络 上 哪些 活动 是 被 允许 的 ， 哪 些 活动 是 被 禁止 的 。 由 于 安全 策略 是 安全 管理 
的 核心 ， 所 以 要 想 实施 动态 网 络 安全 循环 过 程 ， 必 须 制定 网 络 系统 的 安全 策略 ， 所 有 的 防 
护 、 检 测 、 响 应 都 是 依据 安全 策略 实施 的 ， 网 络 系统 安全 策略 为 安全 管理 提供 了 管理 方向 
和 支持 手段 。 


2. 防护 
防护 就 是 根据 系统 可 能 出 现 的 安全 问题 采取 一 些 预防 措施 ， 通 过 一 些 传 统 的 静态 安全 
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技术 及 方法 来 实现 。 通 常 采用 的 主动 防护 技术 有 数据 加 密 、 身 份 验证 、 访 问 控制 、 授 权 和 
虚拟 网 络 VPN 技术 ,被动 防护 技术 有 防火 墙 技术 、 安 全 扫描 、 入 侵 检测 、 路 由 过 滤 、 数 据 
备份 和 归档 、 物 理 安全 、 安 全 管理 等 。 

防护 是 P2DR 模型 中 最 重要 的 部 分 ， 通 过 它 可 以 预防 大 多 数 的 入 侵 事 件 。 防 护 可 分 为 
3 类 : 系统 安全 防护 、 网 络 安全 防护 和 信息 安全 防护 。 系 统 安全 防护 是 指 操作 系统 的 安全 
防护 ， 即 各 个 操作 系统 的 安全 配置 、 使 用 和 打 补丁 等 ， 不 同 操作 系统 有 不 同 的 防护 措施 和 
相应 的 安全 工具 ;网络 安全 防护 指 网 络 管理 的 安全 及 网 络 传输 的 安全 ;信息 安全 防护 指数 
据 本 身 的 保密 性 、 完 整 性 和 可 用 性 ， 数 据 加 密 就 是 信息 安全 防护 的 重要 技术 。 


3. 检测 


如 果 攻 击 者 穿 过 防护 系统 ， 检 测 系统 就 会 将 其 检测 出 来 。 例 如 ， 检 测 入 侵 者 的 身份 ， 
包括 攻击 源 、 系 统 损失 等 。 防 护 系 统 可 以 阻止 大 多 数 的 入 侵 事 件 ， 但 不 能 阻止 所 有 的 入 侵 
事件 ， 特 别 是 那些 利用 新 的 系统 缺陷 、 新 攻击 手段 的 入 侵 。 如 果 入 侵 事 件 发 生 ， 就 要 启动 
检测 系统 进行 检测 。 

检测 与 防护 有 着 根本 的 区 别 。 防 护 主要 是 修补 系统 和 网 络 缺陷 ， 增 加 系统 安全 性 能 ， 
从 而 消除 攻击 和 入 侵 的 条 件 ， 避 免 攻击 的 发 生 ;， 而 检测 是 根据 入 侵 事 件 的 特征 进行 的 。 因 
为 黑客 往往 是 利用 网 络 和 系统 缺陷 进行 攻击 的 ， 因 此 入 侵 事 件 的 特征 一 般 与 系统 缺陷 特征 
有 关 。 在 P2DR 模型 中 ， 防 护 和 检测 具有 互补 关系 。 如 果 防 护 系 统 过 硬 ， 绝 大 部 分 入 侵 事 
件 被 阻止 ， 那 么 检测 系统 的 任务 就 会 减少 。 

检测 是 动态 响应 的 依据 ， 也 是 强制 落实 安全 策略 的 有 力 工具 ， 通 过 不 断 地 检测 和 监控 
网 络 系统 ， 可 发 现 新 的 威胁 和 弱点 ， 通 过 循环 反馈 来 及 时 作出 有 效 的 响应 。 

4 响应 


系统 一 旦 检测 出 入 侵 ， 响 应 系统 就 开始 响应 ， 进 行事 件 处 理 。P2DR 中 的 响应 就 是 在 
已 知 入 侵 事 件 发 生 后 ， 进 行 的 紧急 响应 〈 事 件 处 理 )。 响 应 工作 可 由 特殊 部 门 一 一 计算 机 紧 
急 响应 小 组 负责 。 世 界 上 第 一 个 计算 机 紧急 响应 小 组 简称 CERT (Computer Emergency 
Response Team),， 我 国 第 一 个 计算 机 紧急 响应 小 组 是 由 中 国教 育 与 科研 计算 机 网 络 建立 的 ， 
简称 CCERT， 而 不 同 机 构 也 有 相应 的 计算 机 紧急 响应 小 组 。 

响应 的 主要 工作 可 分 为 两 种 : 紧急 响应 和 恢复 处 理 。 紧 急 响 应 就 是 当 安全 事件 发 生 时 
采取 相应 的 应 对 措施 ， 人 恢复 处 理 是 指 事件 发 生 后 ， 把 系统 恢复 到 原来 的 状态 或 比 原来 更 安 
全 的 状态 。 

紧急 响应 在 安全 系统 中 占有 重要 的 地 位 ， 是 解决 潜在 安全 问题 最 有 效 的 办 法 。 从 某 种 
意义 上 讲 ， 安 全 问题 就 是 要 解决 紧急 响应 和 异常 处 理 问题 。 要 解决 好 紧急 响应 问题 ， 就 要 
制订 好 紧急 响应 方案 ， 做 好 紧急 响应 方案 中 的 一 切 准备 工作 。 

恢复 包括 系统 恢复 和 信息 恢复 两 方面 内 容 。 系 统 恢复 是 指 修补 缺陷 和 消除 后 门 ， 不 让 
黑客 再 利用 这 些 缺 陷入 侵 系 统 。 消 除 后 门 是 系统 恢复 的 一 项 重要 工作 。 一 般 说 来 ， 黑 客 第 
一 次 入 侵 是 利用 系统 缺陷 ， 在 入 侵 成 功 后 ， 黑 客 会 在 系统 中 留 下 一 些 后 门 ， 例 如 安装 木马 
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程序 。 因此， 尽管 缺陷 可 通过 打 补 丁 的 方式 修复 ,黑客 还 是 可 以 通过 留 下 的 后 门 入 侵 系 统 。 
信息 恢复 是 指 恢复 丢失 的 数据 。 丢 失 数据 可 能 是 由 于 黑客 入 侵 所 致 ， 也 可 能 是 系统 故障 、 
自然 灾害 等 原因 所 致 。 

P2DR 安全 模型 也 存在 一 个 明显 的 弱点 ， 就 是 忽略 了 内 在 的 变化 因素 。 例 如 ， 人 员 的 
流动 、 人 员 的 素质 差异 和 策略 贯彻 的 不 稳定 性 。 实 际 上 ， 安 全 问题 牵涉 面 广 ， 除 了 涉及 到 
防护 、 检 测 和 响应 ， 系 统 本 身 安全 的 “免疫 力 ” 的 增强 、 系 统 和 整个 网 络 的 优化 ， 以 及 人 
员 这 个 在 系统 中 最 重要 角色 的 素质 的 提升 ， 都 是 该 安全 模型 没有 考虑 到 的 问题 。 


1.4 网络 安全 措施 


实现 网 络 安全 ， 不 但 要 靠 法 律 的 约束 、 安 全 的 管理 和 教育 ， 更 重要 的 是 要 依靠 先进 的 
网 络 技术 的 支持 。 先 进 的 网 络 安全 技术 是 网 络 安全 的 根本 保证 。 通 常 采用 以 下 儿 类 安全 措 
施 来 保证 计算 机 网 络 的 安全 : 


1.4.1 安全 立法 


计算 机 犯罪 是 一 种 高 技术 犯罪 活动 ， 也 是 未 来 社会 的 主要 犯罪 形式 之 一 ， 面 对 其 日 益 
严重 的 威胁 ， 必 须 建 立 、 健 全 相关 的 法 律 、 法 规 进行 约束 ， 即 通过 建立 、 健 全 国际 、 国 内 
和 地 方 计算 机 信息 安全 法 来 减少 计算 机 犯罪 案件 〈 例 如 ， 盗 窃 网 络 设施 、 非 法 入 侵 网 络 来 
破坏 和 盗窃 信息 资源 、 故 意 制 造 病 毒 破坏 网 络 系统 等 ) 的 发 生 。 由 于 法 律 具 有 强制 性 、 规 
范 性 、 公 正 性 、 威 慑 性 和 权威 性 ， 因 此 它 在 很 多 方面 具有 不 可 代替 的 作用 。 制 定 并 实施 计 
算 机 信息 安全 法 律 ， 加 强 对 计算 机 网 络 安 全 的 宏观 控制 ， 对 危害 计算 机 网 络 安 全 的 行为 进 
行 制裁 ， 为 网 络 信息 系统 提供 一 个 良好 的 社会 环境 是 十 分 必要 的 。 

1. 国外 的 计算 机 信息 安全 立法 

在 国际 上 ， 由 于 发 达 国 家 的 计算 机 应 用 已 非常 普及 ， 因 此 其 计算 机 安全 立法 工作 也 早 
已 进行 。 不 同形 式 的 法 律 ， 例 如 《计算 机 安全 法 人 《信息 自由 法 》《 伪 造访 问 设备 和 计算 
机 欺骗 与 滥用 法 入 《数据 保护 法 六 《计算 机 犯罪 法 六 《计算 机 软件 保护 法 六 《电子 资金 转 
账 法 》、《 保 密 法 》《 个 人 隐私 法 》 等 均 已 出 台 ， 一 些 国家 还 将 计算 机 犯罪 与 刑法 、 民 法 联 
系 在 一 起 ， 修 改 有 关 条 款 ， 颁 布 实施 ， 收 到 了 较 好 的 效果 。 

2. 我 国 的 计算 机 信息 安全 立法 

我 国 的 计算 机 信息 安全 立法 模式 基本 上 属于 “渗透 型 ” 国家 未 制定 统一 的 计算 机 信息 
安全 法 ， 而 是 将 涉及 信息 安全 的 法 律 规范 渗透 和 融入 相关 法 律 、 行 政法 规 、 部 门 规章 和 地 
方法 规 中， 初步 形 成 了 由 不 同 法 律 效力 层 构成 的 计算 机 信息 安全 法 律 规范 体系 。 

我 国信 息 安全 立法 有 4 个 层次 : 一 是 由 全 国人 大 常委 会 通过 的 法 律 ， 除 警察 法 、 刑 法 、 
保守 国家 秘密 法 外 ， 涉 及 计算 机 信息 安全 的 法 律 还 有 《全 国人 大 常委 会 关于 维护 互联 网 安 
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全 的 决定 》 等 ; 二 是 国务 院 为 执行 宪法 和 法 律 而 制定 的 行政 法 规 ， 主 要 有 《中 华人 民 共 和 
国 计 算 机 信息 系统 安全 保护 条 例 》、《 计 算 机 信息 网 络 国 际 联网 安全 保护 管理 办 法 》 和 《 互 
联网 上 网 服务 营业 场所 管理 条 例 》 等 ， 三 是 国务 院 各 部 委 根 据 法 律 和 行政 法 规 在 本 部 门 权 
限 范围 内 制定 的 规章 及 规范 性 文件 ， 主 要 有 《计算 机 病毒 防治 管理 办 法 》、《 互 联网 电子 公 
告 服务 管理 规定 》、《 国 际 互联 网 出 入 信道 管理 办 法 》、《 中 国 互 联网 络 域名 注册 实施 细则 》、 
《互联 网 信息 服务 管理 办 法 》 等 ， 四 是 各 省 市 自治 区 制定 的 地 方 性 法 规 ， 例 如 《XX 省 计 
算 机 信息 系统 安全 保护 管理 规定 》 等 。 

我 国 缔约 或 参加 的 有 关 计 算 机 及 网 络 信息 的 国际 公约 有 《建立 世界 知识 产权 组 织 公 
约 》 保护 文化 艺术 作品 的 《伯尔尼 公约 从 《世界 版 权 公 约 》《 与 贸易 有 关 的 知识 产权 〈 包 
括 假冒 商品 贸易 ) 协议 》 等 。 


1.4.2 ”安全 管理 


各 计算 机 网 络 使 用 机 构 、 企 业 或 单位 ， 应 建立 相应 的 网 络 安全 管理 制度 ， 加 强 内 部 管 
理 ， 建 立 合适 的 网 络 安全 管理 系统 ， 建 立 安全 审计 和 跟踪 机 制 ， 提 高 整体 网 络 的 安全 性 。 
网 络 安全 管理 措施 包括 建立 、 健 全 安全 管理 机 构 、 行 政 人 事 管 理 和 系统 安全 管理 制度 等 。 


1. 安全 管理 机 构 


为 保证 计算 机 网 络 系统 的 安全 运行 ， 网 络 系统 的 使 用 单位 应 当成 立 计算 机 安全 管理 机 
构 ， 设 立 专职 安全 人 员 。 这 些 安全 人 员 包 括 安 全 管理 、 安 全 审计 、 系 统 分 析 、 软 硬件 管理 
通信 及 保安 人 员 等 。 

网 络 安全 管理 机 构 的 设置 与 系统 的 规模 直接 相关 。 若 是 一 个 庞大 系统 且 终 端 客户 遍布 
世界 各 地 ， 则 在 每 个 区 域内 都 应 有 一 个 这 样 的 管理 机 构 。 所 以 ， 一 个 网 络 系统 设置 多 少 安 
全 管理 机 构 是 不 定 的 ， 但 机 构 中 各 有 关 方面 人 员 的 职责 是 固定 的 。 

(1) 安全 管理 机 构 的 主要 职责 

@ 统一 规划 网 络 系统 的 安全 , 制定 完善 的 安全 策略 和 措施 , 协调 各 方面 的 安全 事宜 等 。 

@ 建立 网 络 安全 管理 规章 制度 。 

@ 选择 和 确定 网 络 安全 管理 负责 人 和 安全 管理 人 员 。 

@ 明确 职责 ， 制 定 有 关 的 责任 追究 制度 。 

(2) 安全 管理 机 构 的 组 成 人 员 及 其 职责 

@ 安全 管理 人 员 。 安全 管理 人 员 具 体 负 责 本 系统 或 本 区 域内 安全 策略 的 实施 , 保证 安 
全 策略 的 长 期 有 效 性 ， 负 责 可 信 软 /硬件 的 安装 和 维护 、 日常 操作 的 监视 、 应 急 情况 下 安全 
措施 的 恢复 和 风险 分 析 等 。 

@ 安全 审计 人 员 。 安 全 审计 实际 可 归 入 安全 管理 ， 同 样 担负 着 保证 系统 安全 的 责任 ， 
其 具体 工作 是 监视 系统 的 运行 情况 ， 收 集 对 系统 资源 的 各 种 非法 访问 事件 并 进行 记录 ， 然 
后 进行 分 析 处 理 ， 如 有 必要 ， 还 要 将 审计 的 事件 及 时 上 报 主管 领导 。 

@ 保安 人 员 。 保安 人 员 主 要 负责 非 技 术 性 的 、 常 规 的 安全 保卫 工作 , 例如 计算 机 网 络 
系统 场地 的 警卫 、 验 证 出 入 网 络 中 心 的 手续 和 各 种 规章 制度 的 落实 等 。 
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@ 系统 管理 人 员 。 系 统管 理 人 员 包 括 网 络 系统 的 软 /硬件 技术 人 员 、 系 统 分 析 和 测试 
人 员 、 通 信 管 理 与 维护 人 员 等 。 这 些 人 员 虽 然 不 是 直接 负责 系统 的 安全 保卫 工作 ， 但 仍 是 
保证 系统 安全 运行 的 重要 组 成 部 分 。 其 主要 工作 是 安装 、 调 试 和 升级 系统 ， 控 制 系统 操作 ， 
监视 系统 运行 ， 维 护 和 管理 系统 正常 工作 等 。 

@ 安全 管理 机 构 负责 人 。 在 安全 管理 机 构 中 ， 负 责 人 责任 重大 。 他 宏观 负责 整个 系统 
的 安全 ,其 主要 任务 有 对 系统 修改 进行 授权 ， 对 特权 和 口令 进行 授权 ， 对 每 天 的 违章 报告 、 
控制 室 记录 、 系 统 工作 审计 记录 等 进行 审阅 ， 负 责 对 安全 人 员 组 织 培训 ， 遇 到 重大 问题 向 
系统 主管 领导 及 时 报告 等 。 

2. 安全 行政 人 事 管理 

对 计算 机 网 络 信息 系统 的 大 部 分 威胁 都 来 自 人 为 因素 ， 因 为 无 论 系统 如 何 自动 化 ,总 
是 由 人 设计 和 操作 使 用 的 ， 而 人 本 身 是 很 复杂 的 ， 受 自身 生理 和 心理 因素 的 影响 和 制约 
有 时 为 了 达到 某 种 目的 而 不 惜 锋 而 走 险 ， 利 用 计算 机 系统 进行 犯罪 活动 。 据 研究 表明 ， 从 
事 计算 机 职业 犯罪 的 人 员 中 ，70% 是 信息 系统 运行 和 管理 人 员 。 因 此 ， 对 信息 系统 的 运行 
和 管理 人 员 进 行 教育 、 奖 惩 、 培 养 和 训练 ， 加 强行 政和 人 事 管理 ， 对 保证 网 络 信息 安全 是 
非常 必要 的 。 

行政 人 事 管理 的 职责 是 ， 制 定 严格 的 人 事 管理 、 岗 位 分 工 、 奖 惩 和 责任 追究 等 规章 制 
度 ， 使 网 络 系统 工作 人 员 做 到 各 司 其 职 、 各 负 其 责 、 互 相 监督 和 制约 ， 保 证 系统 安全 运行 。 
行政 人 事 管理 的 具体 工作 有 以 下 一 些 内 容 : 

(1) 人 事 审查 和 录用 

凡 接 触 到 机 密 信息 的 人 员 ， 必 须 坚持 先 审查 后 录用 的 原则 。 审 查 一 般 包括 个 人 历史 审 
查 、 人 品 审查 、 对 在 职 人 员 的 定期 或 不 定期 的 审查 等 。 录 用 时 应 挑选 那些 技术 能 力 和 道德 
素质 好 的 人 员 管理 和 操作 网 络 系统 ， 确 保 这 些 人 员 的 纯洁 和 可 靠 。 此 外 ， 还 应 与 被 录用 人 
员 签署 入 职 和 保密 协议 。 

(2) 岗位 和 职责 范围 的 确定 

在 网 络 系统 中 ， 一 般 需 要 安全 管理 、 安 全 审计 、 系 统管 理 、 系 统 分 析 、 系 统 工程 、 系 
统 维护 、 系 统 操作 、 信 息 录入 等 人 员 。 确 定岗 位 之 后 ， 明 确 责任 分 工 就 成 为 安全 管理 的 基 
础 ， 所 以 要 制定 各 类 管理 人 员 的 职责 范围 ， 决 不 允许 越权 管理 。 这 样 就 能 使 系统 管理 人 员 
各 司 其 职 、 互 相 制 约 ， 从 而 减少 犯罪 的 可 能 性 ， 达 到 安全 的 目的 。 

(3) 工作 考核 和 评价 

定期 对 系统 管理 人 员 的 政治 思想 、 业 务 水 平 、 工 作 表 现 等 进行 考核 ， 对 他 们 的 成 绩 进 
行 评价 和 表彰 ， 激 发 他 们 的 工作 热情 ， 同 时 依据 评价 和 考核 结果 对 他 们 进行 必要 的 提升 、 
调动 和 任免 。 

(4) 任期 有 限 原 则 

任何 人 不 要 在 一 个 安全 管理 岗位 上 长 期 任职 。 

(5) 最 小 权限 原则 

对 任何 安全 管理 人 员 ， 只 授予 其 完成 本 职工 作 所 需要 的 基本 权限 ， 分 散 超级 用 户 的 使 
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用 权限 。 
(6) 教育 与 培训 
对 刚 被 录用 人 员 要 先进 行 培训 ， 培 训 内 容 包 括 职业 道德 、 安 全 教育 、 法 制 教育 、 在 工 
作 岗 位 上 可 能 遇 到 的 新 技术 或 新 工作 方法 、 各 种 操作 规程 等 ， 经 考核 合格 者 核发 相关 上 岗 
证 件 ， 杜 绝 无 证 上 岗 现象 。 对 已 录用 的 人 员 也 要 定期 进行 培训 ， 以 提高 其 工作 水 平 。 

(7) 人 事 档案 管理 

建立 相关 制度 ， 限 制 无 关 人 员 接 触 人 事 档案 。 一 旦 工作 人 员 的 岗位 和 职责 发 生变 化 ， 
要 及 时 在 档案 内 补充 材料 ， 以 确保 档案 反映 工作 人 员 的 工作 和 生活 实情 。 


3. 系统 安全 管理 


一 般 来 说 ， 网 络 系统 的 安全 管理 主要 是 确定 安全 管理 原则 和 相应 的 安全 管理 制度 。 网 
络 系统 安全 管理 机 构 应 根据 多 人 负责 制 、 职 责 分 离 、 任 期 有 限 和 最 小 权限 等 原则 ， 制 定 相 
应 的 管理 制度 或 规范 。 

(1) 确定 安全 等 级 

确定 网 络 系统 的 安全 等 级 ， 根 据 系统 的 安全 等 级 ， 确 定 系 统 的 安全 管理 范围 。 对 安全 
等 级 要 求 较 高 的 系统 ， 要 进行 分 区 控制 ， 限 制 工 作 人 员 出 入 无 关 的 区 域 。 人 员 的 出 入 管理 
可 采用 身份 证 件 识 别 ， 或 安装 自动 识别 登记 系统 ， 例 如 采用 磁卡 、 身 份 卡 等 手段 对 出 入 人 
员 进行 识别 和 登记 。 

(2) 制定 管理 制度 

制定 计算 机 机 房 安 全 管理 制度 、 机 房 设 备 和 数据 管理 制度 。 其 内 容 可 包括 : 保持 机 房 
整洁 卫生 ， 不 得 在 机 房 内 吸烟 、 吃 东西 ， 非 机 房 工作 人 员 不 得 擅自 进入 机 房 ， 上 机 人 员 在 
指定 的 计算 机 上 工作 ， 禁 止 做 与 工作 无 关 的 事情 ， 如 玩 电 子 游戏 ， 建 立 工 作 手 册 和 工作 记 
录 ， 对 每 月 计算 机 信息 系统 的 运行 状况 、 故 障 原因 、 维 修 处 理 结果 、 业 务 进行 详细 记录 ; 
数据 输入 应 验证 其 准确 性 ， 数 据 修改 时 应 保证 数据 的 一 致 性 和 完整 性 ， 重 要 数据 由 专人 输 
入 ， 重 要 数据 的 修改 需 经 主管 领导 批准 并 有 领导 在 场 ; 重要 数据 的 打印 输出 及 外 存 介质 应 
放 在 安全 的 地 方 ， 打 印 出 的 废 纸 要 及 时 销毁 ， 外 存 的 数据 要 进行 加 密 处 理 ， 损 坏 的 外 存 介 
质 要 及 时 粉碎 报废 。 

(3) 对 操作 系统 和 数据 库 的 访问 要 有 监控 措施 ， 访 问 权限 应 按 工 作 性 质 划分 

不 得 将 系统 特权 授予 普通 用 户 ， 不 得 将 所 授予 的 特权 转让 给 其 他 用 户 ， 必 要 时 要 收回 
授予 的 特权 并 修改 特权 程序 。 

(4) 制定 严格 的 操作 规程 

操作 规程 也 要 根据 多 人 负责 和 职责 分 离 的 原则 进行 ， 不 得 越权 操作 和 代替 别人 操作 。 
如 进行 程序 开发 时 ,应 指定 运行 程序 和 修改 程序 的 人 员 ， 并 将 运行 和 修改 程序 的 人 员 分 开 。 

(5) 安全 审计 跟踪 

网 络 系统 运行 时 要 有 安全 审计 跟踪 措施 ， 能 随时 掌握 网 络 用 户 的 工作 情况 。 

(6) 备份 

有 用 的 数据 和 程序 要 及 时 备份 ， 妥 善 保 管 ， 重 要 的 数据 和 程序 由 专人 备份 和 保管 ， 必 
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要 时 备份 两 份 并 异地 保存 。 

(7) 制定 完备 的 系统 维护 制度 

内 容 包 括 对 系统 进行 维护 时 应 采取 的 数据 保护 措施 ， 维 护 时 要 先 经 管理 部 门 批准 ， 并 
有 安全 管理 人 员 在 场 ; 对 维护 的 部 位 、 故 障 原因 、 维 护 内容 和 维护 前 后 的 情况 进行 详细 
记录 。 

(8) 制定 计算 机 网 络 系统 的 灾害 处 理 对 策 、 灾 难 恢复 计划 和 具体 恢复 措施 

制定 应 急 措施 ， 在 紧急 情况 下 ， 要 尽快 恢复 系统 ， 使 损失 降 到 最 低 程度 。 

(9) 制定 人 员 调 离 安全 制度 

人 员 调 离 前 应 移交 系统 的 所 有 文档 资料 ， 及 时 更 换 系统 口令 ， 对 调 离 人 员 重 申 离 岗 后 
承担 的 安全 与 保密 的 责任 和 义务 。 


1.4.3 ”实体 安全 技术 和 访问 控制 技术 


1. 实体 安全 技术 

网 络 实体 安全 (物理 安全 ) 保护 就 是 指 采 取 一 定 措施 对 网 络 的 硬件 系统 、 数 据 和 软件 
系统 等 实体 进行 保护 和 对 自然 与 人 为 灾害 进行 防御 。 

对 网 络 硬件 的 安全 保护 包括 对 网 络 机 房 和 环境 的 安全 保护 、 网 络 设备 设施 (例如 ， 通 
信和 电线 等 ) 的 安全 保护 、 信 息 存储 介质 的 安全 保护 和 电磁 辐射 的 安全 保护 等 。 

对 网 络 数据 和 软件 的 安全 保护 包括 对 网 络 操作 系统 、 网 络 应 用 软件 和 网 络 数据 库 数 据 
的 安全 保护 。 

对 自然 与 人 为 灾害 的 防御 包括 对 网 络 系统 环境 采取 防火 、 防 水 、 防 雷电 、 防 电磁 干扰 、 
防 振动 以 及 防风 暴 、 防 地 震 等 措施 。 

2. 访问 控制 技术 


访问 控制 就 是 规定 哪些 用 户 可 访问 网 络 系统 , 对 要 求 入 网 的 用 户 进行 身份 验证 和 确认 ， 
这 些 用 户 能 访问 系统 的 哪些 资源 ， 他 们 对 于 这 些 资源 能 使 用 到 什么 程度 等 。 访 问 控 制 的 基 
本 任务 就 是 保证 网 络 系统 中 所 有 的 访问 操作 都 是 经 过 认可 的 、 合 法 的 ， 防 止 非法 用 户 进入 
网 络 和 合法 用 户 对 网 络 系统 资源 的 非 授权 访问 。 

访问 控制 措施 通常 包括 设置 口令 和 入 网 限制 ， 如 采用 CA 认证 、 数 字 证 书 、 数 字 签名 
等 技术 对 用 户 身份 进行 验证 和 确认 ， 规 定 不 同 软件 及 数据 资源 的 属性 和 访问 权限 ， 进 行 网 
络 监视 ， 设 置 网 络 审计 和 跟踪 ， 使 用 防火 墙 系统 、 入 侵 检测 和 防护 系统 等 。 


1.5 “信息 安全 评价 标准 


计算 机 信息 系统 安全 产品 种 类 繁多 ， 功 能 也 各 不 相同 ， 为 了 更 好 地 对 其 安全 性 进行 客 
观 评价 ， 满 足 用 户 对 安全 功能 和 保护 措施 的 多 种 需求 ， 也 便于 同类 安全 产品 进行 比较 ， 许 
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多 国家 都 分 别 制定 了 各 自 的 信息 安全 评价 标准 。 典 型 的 信息 安全 评价 标准 主要 有 美国 国防 
部 颁布 的 《可 信 计 算 机 系统 评价 标准 》 欧洲 的 德国 、 法 国 、 英 国 、 荷 兰 4 国联 合 颁布 的 《 信 
息 技 术 安全 评价 标准 》， 加拿大 颁布 的 《可 信 计 算 机 产品 评价 标准 中 国 国家 质量 技术 监 
督 局 颁布 的 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》。 


1.5.1 美国 《可 信 计 算 机 系统 评价 标准 》 


1985 年 ， 美 国 国防 部 基于 军事 计算 机 系统 保密 工作 的 需求 ， 在 历史 上 首次 颁布 了 《可 
信 计 算 机 系统 评价 标准 》(Trusted Computer System Evaluation Criteria，TCSEC)， 把 计算 机 
安全 等 级 分 为 4 类 7 级 (按照 安全 从 低 到 高 的 级 别 顺序 ， 依 次 为 D、C1、C2、B1、B2、 
B3、A 级 )， 如 表 1-1 所 示 。 


表 1-1 TCSEC 
级 别 特征 
形式 化 的 最 高 级 描述 和 验证 ， 形 式 化 的 隐蔽 通道 分 析 ， 非 形式 化 的 代 
ry 
A | 验证 设计 安全 级 。 | 名 “到 性 十 明 
B3 | 安全 域 级 安全 内 核 ， 高 抗 渗透 能 力 


面向 安全 的 体系 结构 ， 遵 循 最 小 授权 原则 ， 有 较 好 的 抗 渗透 能 力 ， 对 
所 有 的 主体 和 客体 提供 访问 控制 保护 ， 对 系统 进行 隐 项 通道 分 析 
在 C2 安全 级 上 增加 了 安全 策略 模型 ， 数 据 标记 〈 安 全 和 属性 )， 托 管 
访问 控制 

C2 | 访问 控制 环境 保护 级 | 访问 控制 ， 以 用 户 为 单位 进行 广泛 的 审计 

C1 | 选择 性 安全 保护 级 ”| 有 选择 的 访问 控制 ， 用 户 与 数据 分 离 ， 数 据 以 用 户 组 为 单位 进行 保护 
D | 最 低 安全 保护 级 | 保护 措施 很 少 ， 没 有 安全 功能 


B2 | 结构 化 安全 保护 级 


Bl 标记 安全 保护 级 


这 些 等 级 的 内 涵 如 下 : 

(1) D 级 为 最 低 安 全 保护 级 。 该 级 不 设 任何 安全 保护 措施 ， 软 硬件 都 容易 被 侵袭 ， 
MS-DOS、Windows 95/98 等 系统 属于 这 个 级 别 。 

(2) C1 级 是 选择 性 安全 保护 级 。C1 级 对 硬件 采取 简单 的 安全 措施 ， 例 如 加 锁 ， 用 户 
要 有 登录 认证 和 访问 权限 制 ， 但 不 能 控制 已 登录 用 户 的 访问 级 别 ， 早 期 的 UNIX/Xenix、 
Netware 3.x 及 以 下 版 本 系统 均 属 于 该 级 别 。 

(3) C2 级 是 访问 控制 环境 保护 级 。C2 级 比 C1 级 增加 了 几 个 特性 ， 例 如 系统 审计 、 
跟踪 记录 、 安 全 时 间 等 。UNIX/Xenix、Netware 3.x 级 以 上 版 本 、Windows NT 等 系统 属于 
本 级 。 该 级 也 是 保证 敏感 信息 安全 的 最 低级 。 

(4) Bl 级 是 标准 安全 保护 级 。B1 级 的 系统 安全 措施 支持 多 级 〈 网 络 、 应 用 程序 和 工 
作 站 等 ) 安全 。 标 记 〈Label) 是 指 网 上 的 一 个 对 象 ， 该 对 象 在 安全 保护 计划 中 是 可 识别 且 
受 保护 的 。 该 级 别 是 支持 秘密 、 绝 密 信 息 保护 的 第 一 个 级 别 。B1l 级 系统 拥有 者 主要 为 政府 
机 构 和 防御 承包 商 。 
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(5) B2 级 是 结构 化 安全 保护 级 。B2 级 要 求 系统 中 所 有 对 象 都 加 标记 ， 并 给 各 设备 分 
配 安 全 级 别 。 例 如 ， 人 允许 用 户 访问 一 工作 站 ， 却 不 允许 访问 含有 特定 资料 的 磁盘 子 系统 。 

(6) B3 级 是 安全 域 级 。B3 级 要 求 用 户 工作 站 或 终端 通过 可 信任 途径 连接 网 络 系统 。 
该 级 还 采用 硬件 来 保护 安全 系统 的 存储 区 。 

(7) A 级 是 验证 设计 安全 级 。A 级 是 最 高 安全 级 ,包含 了 低级 别 所 有 的 特性 。A 级 包 
括 一 个 严格 的 设计 、 控 制 和 验证 过 程 ， 设 计 必须 是 从 数学 角度 经 过 验证 的 ， 且 必须 进行 隐 
蔽 通道 和 可 信任 分 析 。 


1.5.2 ”其 他 国家 信息 安全 评价 标准 


1. 德国 《计算 机 安全 评价 标准 》 

德国 信息 安全 部 颁布 的 《计算 机 安全 评价 标准 》 绿 皮 书 在 TCSEC 的 基础 上 增加 了 系统 
有 效 性 和 数据 完整 性 要 求 , 共 定义 了 10 个 安全 功能 类 别 和 8 个 实现 安全 功能 的 质量 保障 等 
级 ， 安 全 功能 类 别 用 F1 一 F10 表示 ， 安 全 质量 保障 等 级 用 Q0 一 Q7 表示 。 其 中 F1 一 F5 分 
别 对 应 TCSEC 的 C1 一 B3 安全 等 级 , F6、F7 是 针对 数据 完整 性 定义 的 安全 功能 需求 , F8 一 
F10 是 针对 数据 通信 环境 定义 的 安全 需求 。Q0 一 Q7 安全 质量 保障 等 级 大 致 对 应 TCSED 的 
D 一 A 和 超 A 保障 能 力 ， 超 A 是 TCSEC 为 适应 安全 技术 发 展 预 留 的 评价 标准 ， 没 有 制定 
详细 的 评价 规范 。 

2. 德 、 法 、 英 、 荷 4 国联 合 制定 的 《信息 技术 安全 评价 标准 》 

欧洲 共同 体 成 员 国 德国 、 法 国 、 英 国 、 荷 兰 联合 制定 的 《信息 技术 安全 评价 标准 》 

(ITSEC) 在 吸收 TCSEC、 英 国标 准 和 德国 绿 皮 书 经 验 的 基础 上 ,首次 提出 了 信息 保密 性 、 

完整 性 和 有 效 性 安全 目标 概念 在 保留 德国 绿 皮 书 10 个 安全 功能 F1 一 F10 和 英国 标准 功能 
描述 语言 的 同时 ，ITSEC 定义 了 7 个 安全 功能 可 信 等 级 E0 一 E6《〈 称 为 有 效 性 等 级 )， 分 别 
对 应 TCSEC 的 D~A 安全 等 级 。 

3. 加 拿 大 《可 信 计 算 机 产品 评价 标准 》 


加 拿 大 制定 的 《可 信 计 算 机 产品 评价 标准 》(Canadian Trusted Computer Product 
Evaluation Criteria，CTCPEC) 也 将 产品 的 安全 要 求 分 成 安全 功能 和 功能 保障 可 依赖 性 两 个 
方面 。 其 中 ， 安 全 功能 根据 系统 保密 性 、 完 整 性 、 有 效 性 和 可 计算 性 定义 了 6 个 不 同等 级 
0 一 5。 保 密 性 包括 隐蔽 信道 、 自 主 保密 和 强制 保密 ; 完整 性 包括 自主 完整 性 、 强 制 完整 性 、 
物理 完整 性 和 区 域 完整 性 等 属性 ， 有 效 性 包括 容错 、 灾 难 恢复 及 坚固 性 等 ， 可 计算 性 包括 
审计 跟踪 、 身 份 认证 和 安全 验证 等 属性 。 根 据 系 统 结构 、 开 发 环境 、 操 作 环 境 、 说 明文 档 
及 测试 验证 等 要 求 ，CTCPEC 将 可 依赖 性 定 为 8 个 不 同等 级 T0~T7， 其 中 T0 级 别 最 低 ， 
T7 级 别 最 高 。 德 国 绿 皮 书 标准 、ITSEC 标准 、CTCPEC 标准 与 TCSEC 标准 之 间 的 大 致 对 
应 关系 ， 如 表 1-2 所 示 。 


德国 绿 皮 书 标准 示 准 CTCPEC 标准 TCSEC 标准 
功能 等 级 “| 可 信 等 级 能 等 多 可 信 等 纪 功能 等 级 “| 可 信 等 级 安全 等 级 


Q0 
Fl Q1 
F2 Q2 
F4 Q4 
F5 Q5 
Q6 
Q7 


1.5.3 我 国信 息 安 全 评价 标准 


由 于 信息 安全 直接 涉及 国家 政治 、 军 事 、 经 济 和 意识 形态 等 许多 重要 领域 ， 各 国政 府 
对 信息 系统 或 技术 产品 安全 性 的 测评 认证 要 比 其 他 产品 更 为 重视 ,尽管 许多 国家 签署 了 《 信 
县 技术 安全 评价 公共 标准 》 Common Criteria for Information Technology Security Evaluation， 
CC), 但 很 难 想象 一 个 国家 会 绝对 信任 其 他 国家 对 涉及 国家 安全 和 经 济 的 产品 的 测评 认证 。 
事实 上 ， 各 国政 府 都 通过 颁布 相关 法 律 、 法 规 和 技术 评价 标准 对 信息 安全 产品 的 研制 、 生 
产 、 销 售 、 使 用 和 进出 口 进行 了 强制 管理 。 

中 国 国家 质量 技术 监督 局 1999 年 颁布 的 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB 
17859 一 1999)， 在 参考 TCSEC、ITSEC 和 CTCPEC 等 标准 的 基础 上 ， 将 计算 机 信息 系统 
安全 保护 能 力 划 分 为 用 户 自 主 保护 、 系 统 审 计 保护 、 安 全 标记 保护 、 结 构 化 保护 、 访 问 验 
证 保护 5 个 安全 等 级 , 分别 对 应 TCSEC 标准 的 C1 一 B3 等 级 。 为 了 与 国际 通用 安全 评价 标 
准 接轨 ， 国 家 质量 技术 监督 局 于 2001 年 3 月 又 正式 颁布 了 国家 推荐 标准 《信息 技术 一 安全 
技术 一 信息 技术 安全 性 评估 准则 》(GB/T 18336 一 2001)， 推 荐 标准 完全 等 同 于 国际 标准 
ISO/TEC 15408， 即 《信息 技术 安全 评价 公共 标准 》 第 2 版 。 

推荐 标准 GB/T 18336 一 2001 由 3 部 分 组 成 : 第 一 部 分 是 《简介 和 一 般 模型 》(GB/T 
18336.1), 第 二 部 分 是 《安全 功能 要 求 )(GB/T 18336.2), 第 三 部 分 是 《安全 保证 要 求 )(GB/T 
18336.3), 分 别 对 应 国际 标准 化 组 织 和 国际 电工 委员 会 国际 标准 ISO/IEC 15408-1、 ISO/IEC 
15408-2 和 ISO/IEC 15408-3。 

《信息 技术 安全 评价 公共 标准 》、《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB 17859 
一 1999)、《 信 息 技 术 安 全 性 评估 准则 》(GB/T 18336 一 2001) 与 美国 TCSEC 标准 的 对 应 关 
系 如 表 1-3 所 示 。 
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表 1-3 CC 及 国家 标准 与 TCSEC 标准 的 对 应 关系 


CC 标准 | 国家 标准 GB 17859 一 1999 TCSEC 标准 

D 

EALI 

EAL2 用 户 自主 保护 cl 

EAL3 系统 审计 保护 C2 

EAL4 安全 标记 保护 Bl 

EAL5 结构 化 保护 B2 

EAL6 访问 验证 保护 B3 

EAL7 A 


小 ” 结 


络 安 全 就 是 为 防范 计算 机 网 络 硬件 、 软 件 、 数 据 偶然 或 蓄意 被 破坏 、 算 改 、 窟 听 、 


假冒 、 汇 露 、 非 法 访问 并 保护 网 络 系统 持续 有 效 工作 的 措施 总 和 。 


网 络 安全 的 最 终 目 标 就 是 通过 各 种 技术 与 管理 手段 实现 网 络 系统 的 可 靠 性 、 保 密 性 、 


完整 性 、 有 效 性 、 可 控 性 和 拒绝 否认 性 ， 通 常 更 侧重 强调 网 络 信息 的 保密 性 、 完 整 性 和 有 


效 性 。 


方面 。 


网 络 安全 的 特征 表现 在 系统 的 可 靠 性 、 软 件 和 数据 的 完整 性 、 可 用 性 和 保密 性 等 几 个 


网 络 安全 策略 是 保障 机 构 网 络 安 全 的 指导 文件 ， 包 括 总 体 安全 策略 和 具体 安全 管理 实 


施 细 则 。 安 全 策略 的 总 则 : 均衡 性 原则 、 时 效 性 原则 、 最 小 限度 原则 。 安 全 内 容 有 : 网 络 
硬件 物理 安全 、 网 络 连接 安全 、 操 作 系统 安全 、 网 络 服务 安全 、 数 据 安全 、 安 全 管理 责任 、 


安全 用 户 责任 。 


网 络 安全 设备 、 网 络 安全 增强 和 针对 性 防范 技术 既是 经 典 网 络 安全 技术 的 直接 延伸 ， 


也 是 下 一 代 网 络 安全 技术 的 基础 ， 而 网 络 安全 管理 是 下 一 代 网 络 安全 技术 的 核心 。 


网 络 安全 漏洞 包括 : 软件 漏洞 、 网 络 协议 漏洞 和 安全 管理 漏洞 。 软 件 漏洞 是 指 在 软件 


设计 与 编制 时 没有 考虑 非 正常 输入 处 理 或 错误 代码 造成 的 安全 隐患 ， 也 称 为 软件 脆弱 性 或 


软件 隐 错 。 


网 络 系统 的 威胁 大 致 可 分 为 无 意 威胁 和 故意 威胁 两 大 类 。 无 意 威胁 是 在 无 预谋 的 情况 


下 破坏 系统 的 安全 性 、 可 靠 性 或 信息 的 完整 性 等 ， 故 意 威 胁 实际 上 就 是 “人 为 攻击 ”。 
一 个 网 络 安全 模型 通常 由 信息 转换 的 收发 双方 、 可 信任 的 第 三 方 以 及 传输 链 路 上 受 攻 


击 方 组 成 。 


网 络 信息 安全 框架 由 OSI 安全 层次 、 安 全 特性 和 系统 单元 组 成 三 维 空间 。OSI 安全 层 
次 涵盖 了 OSI 体系 结构 提出 的 从 物理 层 到 应 用 层 的 层次 ， 其 中 不 包含 会 话 层 和 表示 层 ; 安 
全 特性 是 指 该 安全 单位 可 以 解决 哪些 安全 威胁 :系统 单元 是 指 该 安全 单元 解决 什么 系统 环 


第 1 章 绪论 过 
境 的 问题 。 


OSI 网 络 安全 体系 结构 主要 包括 网 络 安全 机 制 和 网 络 安全 服务 两 方面 的 内 容 。 网 络 安 
全 机 制 包含 加 密 机 制 、 数 字 签 名 机 制 、 访 问 控制 机 制 、 数 据 完 整 性 机 制 、 交 换 鉴别 机 制 、 
信息 流 填充 机 制 、 路 由 控制 机 制 和 公证 机 制 等 ; 网 络 安全 服务 有 鉴别 服务 、 访 问 控制 服务 、 
数据 完整 性 服务 、 数 据 保密 性 服务 和 非 否 认 服 务 等 。 

P2DR 网 络 安全 模型 由 相互 关联 的 策略 、 保 护 、 检 测 和 响应 4 部 分 组 成 ， 安 全 策略 是 
P2DR 模型 的 核心 。 

计算 机 犯罪 是 一 种 高 技术 犯罪 活动 ， 也 是 未 来 社会 的 主要 犯罪 形式 之 一 ， 面 对 其 日 益 
严重 的 威胁 ， 必 须 建 立 、 健 全 相关 的 法 律 、 法 规 进行 约束 。 我 国 和 其 他 国家 都 进行 了 计算 
机 信息 安全 立法 ， 设 立 专 门 的 机 构 和 人 员 进 行 这 项 管理 工作 。 

网 络 实体 安全 保护 就 是 指 采 取 一 定 措施 对 网 络 的 硬件 系统 、 软 件 系 统 和 数据 等 实体 进 
行 保护 和 对 自然 和 人 为 灾害 进行 防御 ; 访问 控制 就 是 规定 哪些 用 户 可 访问 网 络 系统 ， 对 要 
求 入 网 的 用 户 进 行 身份 验证 和 确认 ， 规 定 其 能 访问 系统 哪些 资源 ， 对 这 些 资源 可 使 用 到 什 
么 程度 等 问题 。 

美国 提出 的 《可 信 计 算 机 系统 评价 标准 》(TCSEC)， 将 安全 级 别 分 为 D、C、B、A 四 
大 类 ， 安 全 级 别 按 D、C1、C2、B1、B2、B3、A 依次 增高 ， 安 全 风险 依次 降低 ， 高 安全 
级 别 的 计算 机 系统 包含 了 低 安全 级 别 的 属性 。 

德国 《计算 机 安全 评价 标准 》 绿 皮 书 定义 了 10 个 安全 功能 类 别 和 8 个 实现 安全 功能 的 
质量 保障 等 级 ， 安 全 功能 类 别 用 Fl 一 F10 表示 ， 安 全 质量 保障 等 级 用 Q0 一 Q7 表示 。 欧 洲 
共同 体 成 员 国 德 、 法 、 英 、 荷 4 国联 合 制定 的 ITSEC 定义 了 10 个 安全 功能 类 Fl 一 F10 和 
安全 功能 可 信 等 级 E0 一 E6。 加 拿 大 的 CTCPEC 定义 了 6 个 不 同等 级 0 一 5 和 8 个 可 依赖 性 
等 级 T0~T7。 

目前 我 国有 两 个 信息 安全 评价 标准 ， 分 别 是 国家 标准 《计算 机 信息 系统 安全 保护 等 级 
划分 准则 》(CGB 17859 一 1999) 和 国家 推荐 标准 《信息 技术 一 安全 技术 一 信息 技术 安全 性 评 
人 准则 》(GB/T 18336 一 2001)。GB 17859 一 1999 将 信息 系统 安全 保护 能 力 划分 为 5 个 安全 
等 级 ,， GB/T 18336 一 2001 等 同 于 国际 标准 ISO/IEC15408。 目 前 我 国信 息 安全 测评 认证 中 心 
采用 GB/T 18336 一 2001 对 国内 外 信息 安全 产品 和 信息 技术 进行 测评 和 认证 。 


练习 与 思考 


1. 什么 叫 计算 机 网 络 安全 ? 计算 机 系统 安全 与 密码 的 关系 是 什么 ? 

2. 网 络 安全 的 目标 是 什么 ? 简 述 保密 性 、 完 整 性 和 有 效 性 的 含义 ， 分 别 使 用 什么 技术 
手段 能 够 保障 网 络 信息 的 保密 性 、 完 整 性 和 有 效 性 ? 

3. 网 络 安全 策略 的 具体 内 容 有 哪些 ? 

4. 什么 叫 软件 漏洞 ? 什么 叫 网 络 协议 漏洞 ? 请 列举 一 些 网 络 事例 予以 说 明 。 
5. 网 络 系统 的 威胁 有 哪些 类 别 ? 它们 的 内 涵 分 别 是 什么 ? 
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. 为 什么 软件 漏洞 具有 时 效 性 特点 ? 

网 络 安全 模型 由 哪儿 部 分 组 成 ? 一 个 安全 的 网 络 通信 方案 必须 考虑 哪些 内 容 ? 

网 络 信息 安全 框架 是 一 个 几 维 空间 ? 其 中 的 系统 单位 涉及 哪些 不 同 环境 ? 

P2DR 网 络 安 全 模型 由 哪儿 部 分 组 成 ? 请 说 明 各 部 分 的 作用 。 

10. 为 什么 要 进行 计算 机 信息 安全 立法 ? 我 国信 息 安全 立法 从 哪 4 个 层次 考虑 ? 

11. 简 述 美国 《可 信 计 算 机 系统 评价 标准 》D、C、B、A 四 大 类 安全 级 别 的 安全 属性 。 
12. 我 国 颁布 的 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》 建 立 在 什么 基础 上 ? 


RN 


数据 加 密 技 术 


本 章 学 习 要 求 : 

(1) 掌握 数据 加 密 的 基本 概念 。 

(2) 掌握 传统 的 密码 技术 。 

(3) 掌握 对 称 密 钥 密 码 和 公开 密 钥 密码 体制 。 
(4) 掌握 密 钥 管 理 。 

(5) 掌握 数字 签名 的 方法 。 

(6) 了 解 加 密 软 件 PGP 提供 的 服务 。 

(7) 了 解 网 络 保密 通信 。 


(1) 重点 : 掌握 数据 加 密 的 基本 概念 、 对 称 密 钥 密 码 和 公开 密 钥 密码 体制 。 
(2) 难点 : 掌握 数字 签名 的 方法 。 


尽管 采用 安全 立法 对 保护 网 络 系统 安全 有 着 不 可 替代 的 重要 作用 ， 但 任何 法 律 也 阻止 
不 了 攻击 者 对 网 络 数据 的 各 种 威胁 ， 加 强行 政 、 人 事 管理 ， 采 取 物 理 保护 措施 都 是 保护 系 
统 不 可 缺少 的 有 效 措施 ， 但 是 这 些 措施 也 会 受到 各 种 环境 、 费 用 、 技 术 以 及 系统 工作 人 员 
素质 等 条 件 的 限制 ; 采用 访问 控制 、 系 统 软 硬件 保护 等 方法 保护 网 络 系统 资源 ， 简 单 易 行 ， 
但 也 存在 像 系统 内 部 某 些 职员 可 以 轻松 越过 这 些 障碍 而 进行 计算 机 犯罪 等 不 易 解 决 的 问 
题 ; 而 采用 密码 技术 和 数据 加 密 技 术 保护 网 络 中 存储 和 传输 的 数据 ， 则 是 一 种 十 分 实用 、 
经 济 、 有 效 的 方法 。 对 数据 信息 进行 加 密 保 护 可 以 防止 攻击 者 窃取 网 络 机 密 信 息 ， 使 系统 
信息 不 被 非法 者 识别 ， 也 可 以 检测 出 非法 用 户 对 数据 的 插入 、 删 除 和 修改 及 滥用 有 效 数据 
等 各 种 行为 。 

本 章 将 讨论 数据 加 密 概述 、 传 统 的 密码 技术 、 对 称 密 钥 和 公开 密 钥 密码 体制 、 数 字 签 
名 、 密 钥 管理 、 网 络 保密 通信 和 加 密 软 件 PGP。 
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2.1 数据 加 密 概述 


2.1.1 密码 学 的 发 展 


密码 学 (Cryptography， 来 源 于 古 希 腊 的 Crypto 和 Graphein， 意 思 是 密 写 ) 是 一 门 古 
老 而 深奥 的 学 科 ， 它 以 认识 密码 变换 为 本 质 ， 以 加 密 与 解密 基本 规律 为 研究 对 象 。 一 般 人 
对 密码 学 是 陌生 的 ， 因 为 长 期 以 来 ， 它 只 被 应 用 在 军事 、 外 交 和 情报 等 部 门 。 

早 在 几 千 年 前 ， 人 类 就 已 经 有 了 保密 通信 的 思想 和 方法 ， 但 这 些 保密 方法 都 是 非常 朴 
素 、 原 始 和 低级 的 ， 而 且 大 多 数 是 无 规律 的 。 有 记载 的 最 早 的 密码 系统 可 能 是 希腊 历史 学 
家 发 明 的 Polybios， 这 是 一 种 替代 密码 系统 。 

1949 年 ， 信 息 论 的 创始 人 香农 〈C. E. Shannon) 发 表 了 一 篇 著名 的 文章 ， 论 证 了 一 般 
经 典 加 密 方法 都 是 可 以 破解 的 。 到 了 20 世纪 60 年 代 ， 随 着 电子 技术 、 信 息 技术 的 发 展 及 
结构 代数 、 可 计算 性 理论 和 复杂 度 理论 的 研究 ， 密 码 学 又 进入 了 一 个 新 的 时 期 。 

近年 来 ， 密 码 学 研究 之 所 以 十 分 活跃 ， 主 要 是 它 与 计算 机 科学 的 蓬勃 发 展 密切 相关 ; 
此 外 ， 还 有 在 电信 、 人 金融 等 领域 防止 日 益 泛滥 的 计算 机 犯罪 的 需要 。 在 互联 网 出 现 之 前 ， 
密码 技术 已 经 广泛 应 用 于 军事 和 民用 方面 ， 而 今 密码 技术 应 用 于 计算 机 网 络 中 的 实例 越 来 
越 多 。 

密码 学 的 发 展 可 分 为 两 个 主要 阶段 :第 一 个 阶段 是 传统 密码 学 阶段 ， 即 古代 密码 学 阶 
段 ， 该 阶段 基本 上 依靠 人 工 和 机 械 对 信息 进行 加 密 、 传 输 和 破译 ;第 二 阶段 是 计算 机 密码 
学 阶段 ， 该 阶段 又 可 细 分 为 两 个 阶段 ， 即 使 用 传统 方法 的 计算 机 密码 学 阶段 和 使 用 现代 方 
法 的 计算 机 密码 学 阶段 。 使 用 传统 方法 的 计算 机 密码 学 是 指 计算 机 密码 工作 者 沿用 传统 密 
码 学 的 基本 观念 进行 信息 的 保密 ; 而 使 用 现代 方法 的 计算 机 密码 学 是 指使 用 现代 思想 进行 
信息 的 保密 ， 其 中 包括 两 个 方向 ， 即 对 称 密 钥 密码 机 制 和 非 对 称 密 钥 密码 机 制 。 

计算 机 密码 学 是 研究 利用 现代 技术 手段 对 计算 机 系统 中 的 数据 进行 加 密 、 解 密 和 变换 
的 学 科 ， 是 数学 和 计算 机 学 交叉 的 学 科 ， 也 是 一 门 新 兴 的 学 科 。 随 着 计算 机 网 络 和 现代 通 
信 技 术 的 发 展 ， 计 算 机 密码 学 得 到 了 前 所 未 有 的 发 展 和 应 用 。 在 国外 ， 计 算 机 密码 学 已 成 
为 计算 机 系统 安全 的 主要 研究 方向 ， 也 是 计算 机 安全 课程 教学 中 的 主要 内 容 。 

密码 学 包括 密码 编码 学 和 密码 分 析 学 。 密 码 编码 学 是 研究 密码 变化 的 规律 并 用 之 于 编 
制 密码 以 保护 秘密 信息 的 科学 ， 即 研究 如 何 通 过 编码 技术 来 改变 被 保护 信息 的 形式 ， 使 得 
编码 后 的 信息 除 指定 接收 者 之 外 的 其 他 人 都 不 能 理解 ， 密 码 分 析 学 则 是 研究 密码 变化 的 规 
律 并 用 之 于 分 析 〔〈 解 释 ) 密码 以 获取 信息 情报 的 科学 ， 即 研究 如 何 攻破 一 个 密码 系统 ， 恢 
复 被 隐藏 起 来 的 信息 的 本 来 面目 。 密 码 编码 学 是 实现 对 信息 加 密 的 ， 密 码 分 析 学 是 实现 对 
信息 解密 的 ， 这 两 部 分 相辅相成 ， 互 相 促进 ， 也 是 矛盾 的 两 个 方面 。 

在 20 世纪 70 年 代 ， 密 码 学 的 研究 出 现 了 两 大 成 果 ， 一 个 是 1977 年 美国 国家 标准 局 
(NBS) 颁布 的 联邦 数据 加 密 标 准 (DES)， 另 一 个 是 1976 年 由 Diffie 和 Hellman 提出 的 公 
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钥 密码 体制 的 新 概念 。DES 将 传统 的 密码 学 发 展 到 了 一 个 新 的 高 度 ， 而 公 钥 密码 体制 的 提 
出 被 公认 为 是 实现 现代 密码 学 的 基石 。 这 两 大 成 果 已 成 为 近代 密码 学 发 展 史上 的 两 个 重要 
里 程 碑 。 

随 着 计算 机 网 络 不 断 渗透 到 国民 经 济 各 个 领域 , 密码 学 的 应 用 也 随 之 扩大 ,数字 签名 、 
身份 鉴别 等 都 是 由 密码 学 派生 出 来 的 新 技术 和 新 应 用 。 


2.1.2 密码 学 的 基本 概念 


在 计算 机 网 络 系统 中 ， 可 采用 密码 技术 将 信息 隐蔽 起 来 ， 再 将 隐蔽 后 的 信息 进行 存储 
和 传输 。 这 样 ， 即 使 信息 在 存储 或 传输 过 程 中 被 窃取 或 截获 ， 那 些 非法 获得 信息 者 因 不 了 
解 这 些 信 息 的 隐蔽 规律 ， 也 就 无 法 识别 信息 的 内 容 ， 从 而 保证 了 计算 机 网 络 系统 中 的 信息 
安全 。 

在 密码 学 中 ， 通 过 使 用 某 种 算法 并 使 用 一 种 专门 信息 一 一 密 钥 ， 可 将 信息 从 一 个 可 理 
解 的 明码 形式 变换 成 一 个 错乱 的 不 可 理解 的 密码 形式 ， 只 有 再 使 用 密 钥 和 相应 的 算法 才能 
把 密码 还 原 成 明码 。 

1. 密码 学 的 基本 术语 

(1) 消息 (Message) 

消息 是 指 用 语言 、 文 字 、 数 字 、 符 号 、 图 像 、 声 音 或 其 组 合 等 方式 记载 或 传递 的 有 意 
义 的 内 容 。 在 密码 学 里 ， 消 息 也 称 为 信息 。 

(2) 明文 (Plaintext) 

未 经 过 任何 伪装 或 隐藏 技术 处 理 的 消息 称 为 明文 。 

(3) 加 密 (Encryption) 

利用 某 些 方法 或 技术 对 明文 进行 伪装 或 隐藏 的 过 程 称 为 加 密 。 

(4) 密 文 (Cipher Text) 

被 加 密 的 消息 称 为 密 文 。 

(5) 解密 (Decryption) 

将 密 文 恢复 成 原 明 文 的 过 程 或 操作 称 为 解密 。 解 密 也 可 称 为 脱 密 。 

(6) 加 密 算 法 (Encryption Algorithm) 

将 明文 消息 加 密 成 密 文 所 采用 的 一 组 规则 或 数学 函数 。 

(7) 解密 算法 (Decryption Algorithm) 

将 密 文 消息 解密 成 明文 所 采用 的 一 组 规则 或 数学 函数 。 

(8) 密 钥 (Key) 
进行 加 密 或 解密 操作 所 需要 的 秘密 参数 或 关键 信息 。 在 密码 系统 中 ， 密 钥 分 为 私 钥 与 
公 钥 两 种 。 私 钥 指 必须 保密 的 密 钥 ， 公 钥 指 可 以 向 外 界 公 开 的 密 钥 。 

(9) 密码 体制 (Cryptosystem) 

一 个 密码 体制 或 密码 系统 是 指 由 明文 空间 、 密 文 空间 、 密 钥 空间 、 加 密 算法 以 及 解密 
算法 组 成 的 一 个 多 元 素 集合 体 。 对 任何 一 个 密码 体制 (系统 ) 来 说 ， 决 定 其 安全 性 的 重要 
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参数 是 密 钥 ， 而 非 算法 。 算 法 一 般 是 公开 的 。 
2. 加 解密 过 程 
通用 的 数据 加 密 模型 如 图 2-1 所 示 。 


发 送 端 接收 端 
加 密 密 钥 K, 攻击 者 解密 密 铀 KK; 


图 2-1 通用 的 数据 加 密 模型 


从 图 2-1 可 见 ， 加 密 算法 实际 上 是 要 完成 其 函数 c=f (P, Ko) 的 运算 。 对 于 一 个 确定 的 加 
密 密 钥 KK ， 加 密 过 程 可 看 作 是 只 有 一 个 自 变 量 的 函数 ， 记 作 拟 ， 称 为 加 密 变 换 。 因 此 加 密 
过 程 也 可 记 为 : 

C=Ex (P) 
即 加 密 变 换 作 用 到 明文 了 后 得 到 密 文 C。 
同样 ， 解 密 算法 也 是 完成 某 种 函数 P=g(Ka, OC) 的 运算 ， 对 于 一 个 确定 的 解密 密 钥 Ka 来 
说 ， 解 密 过 程 可 记 为 : 
P=DAO) 
其 中 ，Di 称 为 解密 变换 ，D 作 用 于 密 文 C 后 得 到 明文 P。 
由 此 可 见 ， 密 文 C 经 解密 后 还 原 成 原来 的 明文 ， 必 须 有 : 
P=DA(EKMP))=Dk * EAP) 
此 处 “。” 是 复合 运算 ， 因 此 要 求 : 
Dr* ErI 
在 此 了 为 恒 等 变 换 ， 表 明 Di 与 所 是 互 逆 变 换 。 


2.1.3 密码 的 分 类 


从 不 同 的 角度 ， 根 据 不 同 的 标准 ， 可 将 密码 分 为 不 同 的 类 型 。 

1. 手工 密码 、 机 械 密码 、 电 子 机 内 乱 密码 和 计算 机 密码 

按 密 码 的 历史 发 展 阶段 和 应 用 技术 划分 ， 可 将 其 分 为 手工 密码 、 机 械 密码 、 电 子 机 内 
乱 密码 和 计算 机 密码 。 

(1) 手工 密码 是 以 手工 完成 ,或 以 简单 器 具 辅 助 完成 加 密 和 解密 过 程 的 密码 。 这 是 第 
一 次 世界 大 战 以 前 使 用 的 主要 密码 形式 。 

(2) 机 械 密 码 是 以 机 械 密 码 机 或 电动 密码 机 来 实现 加 密 和 解密 过 程 的 密码 。 这 种 密码 
最 早出 现在 第 一 次 世界 大 战 期 间 ， 在 第 二 次 世界 大 战 中 得 到 普遍 应 用 。 

(3) 通过 电子 电路 ， 以 严格 的 程序 进行 逻辑 运算 ， 以 少量 制 乱 元 素 生 产 大 量 的 加 密 乱 
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数 ， 因 其 制 乱 是 在 加 密 、 解 密 过程 中 完成 的 而 不 需 预 先 制作 ， 所 以 称 为 电子 机 内 乱 密码 。 

(4) 计算 机 密码 是 指 以 计算 机 软件 程序 完成 加 密 和 解密 过 程 的 密码 , 适用 于 计算 机 数 
据 保护 和 网 络 保密 通信 场合 。 

2. 替代 密码 和 移 位 密码 

按 密 码 转 换 操 作 的 原理 划分 ， 可 将 密码 分 为 奉 代 密码 和 移 位 密码 。 

(1) 替代 密码 也 叫 置换 密码 ， 就 是 在 加 密 时 将 明文 中 的 每 个 或 每 组 字符 由 另 一 个 或 另 
一 组 字符 替换 ， 原 字符 被 隐藏 起 来 ， 即 形成 密 文 。 

(2) 移 位 密码 也 叫 换 位 密码 ， 就 是 在 加 密 时 只 对 明文 字母 〈 字 符 、 符 号 ) 重新 排序 ， 
每 个 字母 位 置 变化 了 ， 但 没 被 隐藏 起 来 。 移 位 密码 是 一 种 打 乱 原文 顺序 的 加 密 方法 。 

替代 密码 加 密 过 程 是 明文 的 字母 位 置 不 变 而 字母 形式 变化 了 ， 移 位 密码 加 密 过 程 是 字 
母 的 形式 不 变 而 位 置 变化 了 。 

3. 保密 密码 和 不 保密 密码 

按 保 密 程 度 划 分 ， 可 将 密码 分 为 理论 上 保密 的 密码 、 实 际 上 保密 的 密码 和 不 保密 的 
密码 。 

(1) 理论 上 保密 的 密码 是 指 不 管 获取 多 少 密 文 和 有 多 大 的 计算 能 力 ， 始终 不 能 破译 原 
信息 ， 这 种 密码 也 叫 理论 不 可 破译 的 密码 。 

(2) 实际 上 保密 的 密码 是 指 在 理论 上 可 破译 , 但 在 现 有 客观 条 件 下 ， 无 法 通过 计算 来 
得 到 原 信 息 ， 或 即使 破译 成 功 ， 得 到 了 原 信息 ， 但 此 时 原 信 息 早已 过 了 实效 期 而 没有 任何 
意义 了 。 

(3) 不 保密 的 密码 是 指 在 获取 一 定数 量 的 密 文 后 , 使 用 一 些 技 术 即 可 得 到 仍 有 意义 的 
原 信 息 。 例 如 ， 早 期 单 表 代替 密码 、 后 来 的 多 表 代替 密码 等 至 今 都 已 成 为 不 保密 的 密码 。 

4. 分 组 密码 和 序列 密码 


按 明 文 加 密 时 的 处 理 过 程 划 分 ， 可 将 密码 分 为 分 组 密码 和 序列 密码 。 

(1) 分 组 密码 

分 组 密码 的 加 密 过 程 是 : 首先 将 明文 序列 以 固定 长 度 进行 分 组 (数据 块 ), 每 组 明文 用 
相同 的 密 钥 和 算法 进行 变换 ， 得 到 一 组 密 文 。 分 组 密码 是 以 分 组 为 单位 ， 在 密 钥 的 控制 下 
进行 一 系列 线性 和 非 线 性 变换 而 得 到 密 文 的 。 

在 分 组 密码 的 加 密 /解密 运算 过 程 中 , 输出 块 中 的 每 一 位 是 由 输入 块 的 每 一 位 和 密 钥 的 
每 一 位 共同 决定 的 。 加 密 算 法 中 重复 地 使 用 蔡 代 和 移 位 两 种 基本 的 加 密 变 换 , 此 即 Shannon 
于 1949 年 发 现 的 隐藏 信息 的 两 种 技术 一 一 扩散 和 扰乱 。 

@ 扩散 (Diffusion) 就 是 把 明文 的 统计 结构 扩散 消失 到 密 文 的 长 度 统计 特性 中 。 其 方 
法 是 使 明文 的 每 个 数字 影响 许多 密 文 数字 的 取 值 ， 即 每 个 密 文 数字 被 许多 明文 数字 影响 。 
其 结果 是 在 密 文中 各 种 字母 出 现 的 频率 比 在 明文 中 更 接近 平均 ， 双 字母 组 合 出 现 的 频率 也 
更 接近 平均 。 所 有 分 组 密码 都 包含 从 明文 分 组 到 密 文 分 组 的 变换 ， 具 体 变换 依赖 于 密 钥 。 
扩散 机 制 使 得 明文 和 密 文 之 间 的 统计 规律 尽量 复杂 ， 以 便 增 大 推测 密 钥 的 难度 。 
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@ 扰乱 (Conffusion) 即 试图 使 密 文 的 统计 特性 与 加 密 密 钥 取 值 之 间 的 关系 尽量 复杂 ， 
同样 也 是 为 了 增 大 发 现 密 钥 的 难度 。 这 样 ， 即 使 攻击 者 掌握 了 密 文 的 某 些 统计 特性 ， 由 于 
密 钥 产生 密 文 的 方式 非常 复杂 ， 攻 击 者 也 难于 从 中 推测 出 密 钥 。 要 实现 这 个 目的 ， 可 使 用 
一 个 复杂 的 替代 算法 。 

分 组 密码 具有 良好 的 扩散 性 、 对 插入 信息 的 敏感 性 、 较 强 的 适应 性 、 加 密 /解密 速度 慢 、 
差错 的 扩散 和 传播 等 特点 。 

(2) 序列 密码 

序列 密码 的 加 /解密 过 程 是 : 把 报 文 、 语 音 、 图 像 等 原始 信息 转换 为 明文 数据 序列 ， 再 
将 其 与 密 钥 序列 进行 “ 异 或 ”运算 ， 生 成 密 文 序列 发 送 给 接收 者 ， 接 收 者 用 相同 的 密 钥 序 
列 与 密 文 序列 青 进行 逐 位 解密 ( 异 或 )， 恢 复明 文 序列 。 序 列 密码 加 密 / 解 密 的 密 钥 ， 可 采 
用 一 个 比特 流 发 生 器 随机 产生 二 进 制 比 特 流 而 得 到 。 这 些 随 机 比特 流 作为 密 钥 ， 与 明文 结 
合 产 生 密 文 ， 与 密 文 结合 产生 明文 。 序 列 密码 的 安全 性 主要 依赖 于 随机 密 钥 序 列 。 

5. 对称 密 钥 密 码 和 非 对 称 密 钥 密码 

按 加 密 和 解密 密 钥 的 类 型 划分 ， 可 将 密码 分 为 对 称 密 钥 密码 和 非 对 称 密 钥 密码 。 

加 密 和 解密 过 程 都 是 在 密 钥 的 作用 下 进行 的 。 如 果 加 密 密 钥 和 解密 密 钥 相同 或 相近 ， 
由 其 中 一 个 很 容易 地 得 出 另 一 个 ， 这 样 的 系统 称 为 对 称 密 钥 密码 系统 。 在 这 种 系统 中 ， 加 
密 和 解密 密 钥 都 需要 保密 。 对 称 密 钥 密码 系统 也 称 为 单 密 钥 密码 系统 或 传统 密 钥 密码 系统 。 

如 果 加 密 密 钥 与 解密 密 钥 不 同 ， 且 由 其 中 一 个 不 容易 得 到 另 一 个 ， 则 这 种 密码 系统 是 
非 对 称 密 钥 密 码 系 统 。 这 两 个 不 同 的 密 钥 ， 往 往 其 中 一 个 是 公开 的 ， 另 一 个 是 保密 的 。 非 
对 称 密 钥 密码 系统 也 称 为 双 密 钥 密码 系统 或 公开 密 钥 密码 系统 。 


2.2 ”传统 密码 技术 


2.2.1 数据 的 表示 


数据 的 表示 有 多 种 形式 ， 使 用 最 多 的 是 文字 ， 其 次 还 有 图 形 、 声 音 、 图 像 等 。 传 统 加 
密 技 术 的 主要 对 象 是 文字 书信 ， 其 内 容 都 是 基于 某 个 字母 表 ， 如 英文 字母 表 、 汉 语 拼音 字 
母 表 等 。 

现代 密码 技术 是 在 计算 机 科学 和 数学 基础 上 发 展 起 来 的 ， 数 据 的 各 种 表示 形式 在 计算 
机 系统 中 都 是 以 某 种 编码 方式 存储 的 ， 而 数据 加 密 就 是 以 这 些 数字 化 的 信息 为 研究 对 象 ， 
所 以 现代 密码 技术 可 以 应 用 于 所 有 在 计算 机 系统 中 运用 的 数据 。 计 算 机 系统 普遍 采用 的 是 
二 进 制 数 据 ， 所 以 二 进 制 数据 的 加 密 方法 在 计算 机 系统 信息 安全 中 有 着 广泛 的 应 用 ， 它 也 
是 现代 密码 学 研究 的 主要 应 用 对 象 。 

传统 加 密 方 法 加 密 的 对 象 是 文字 信息 。 文 字 由 字母 表 中 的 字母 组 成 ， 在 字母 表 中 字母 
是 按 顺 序 排列 的 ， 可 赋予 它们 相应 的 数字 序号 ， 如 表 2-1 所 示 。 因 为 大 多 数 加 密 算法 都 有 
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数学 属性 ， 这 种 表示 方法 便于 对 字母 进行 算术 运算 ， 因 此 可 用 数学 方法 进行 加 密 变换 。 将 
字母 表 中 的 字母 看 作 是 循环 的 ， 将 字母 的 加 减 运算 变换 为 相应 代码 的 算术 运算 ， 可 用 求 模 
运算 来 表示 在 标准 的 英文 字母 表 中 ， 模 数 为 26)， 如 A+4=E，X-10=H。 

这 是 因为 : 

® 1+4=5 5mod 26=5 ”序号 5 对 应 的 字母 为 “E”。 

e@ 24+10=34 ”34mod26=8 序号 8 对 应 的 字母 为 “H”。 


表 2-1 英文 字母 表 及 其 序号 


字母 代 码 字母 代 码 
A 1 N 14 
B 了 9 15 
c p 16 
D Q 17 
E R 18 
F | 6 | S 19 
G 20 
H [se | U 21 
I [= | Vv 22 
J | 1 | Ww 23 
kK | | x 4 
Y 25 
M z 26 


2.2.2 替代 密码 


替代 密码 在 加 密 时 将 一 个 字母 或 一 组 字母 的 明文 用 另 一 个 字母 或 一 组 字母 替代 ， 而 得 
到 密 文 ， 解 密 就 是 对 密 文 进行 逆 奉 代 得 到 明文 的 过 程 。 
在 传统 密码 学 中 ,替代 密码 有 简单 替代 、 多 名 码 替代 、 多 字母 替代 和 多 表 替 代 4 种 类 型 。 
1， 简单 替代 密码 
简单 替代 密码 也 叫 单 表 替 代 密 码 。 简 单 替代 就 是 将 明文 的 一 个 字母 ， 用 相应 的 一 个 密 
文字 母 代 替 ， 其 规则 是 根据 密 钥 形成 一 个 新 的 字母 表 ， 与 原 明文 字母 表 有 相应 的 对 应 〈 映 
射 ) 关系 。 简 单 替代 加 密 方 法 有 移 位 映射 法 、 倒 映射 法 和 步 长 映射 法 等 ， 如 图 2-2 所 示 。 
FE 
E F GH > BeeD 


(a) 移 位 映射 
图 2-2 简单 替代 加 密 示 意图 


assests en 
oT 
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例如 ， 移 位 映射 的 移动 距离 为 +4 ( 按 字母 顺序 向 右 移动 4 个 字母 位 置 )， 则 明文 A、B、 
C、…、Y、Z 可 分 别 由 E、F、G、…、C、D 代替 。 如 果 明 文 是 about， 则 变 为 密 文 就 是 
efsyx， 其 密 钥 k=+4， 如 图 2-2 (a) 所 示 。 

简单 奉 代 密 码 很 容易 破译 ， 因 为 它 没 有 把 明文 不 同 字母 出 现 的 频率 隐藏 起 来 ， 所 有 密 
文 都 是 由 26 个 英文 字母 组 成 ， 字 母 出 现 的 统计 规律 不 变 。 破 译 这 种 密码 的 算法 已 经 有 很 
多 种 。 


2. 多 名 码 替代 密码 


多 名 码 奉 代 密 码 与 简单 替代 密码 的 替代 规则 相似 ， 不 同 之 处 是 单个 明文 字母 可 以 映射 
成 几 个 密 文字 母 ， 如 A 可 能 对 应 于 5、13、25 或 56，B 可 能 对 应 于 7、19、31 或 42 等 。 

多 名 码 替代 密码 出 现在 15 世纪 初 ， 虽 然 它 比 简单 替代 密码 更 难 破译 ， 但 仍 不 能 挫 盖 明 
文字 母 的 统计 特性 。 用 已 知 明文 攻击 法 破译 该 类 密码 很 容易 ; 用 唯 密 文 攻击 法 则 要 难 一 些 ， 
但 在 计算 机 上 运行 设计 好 的 解密 程序 ， 只 需要 几 秒 钟 即 可 完成 破译 。 

3. 多 字母 替代 密码 

多 字母 替代 密码 的 加 密 和 解密 都 是 将 字母 以 块 为 单位 进行 的 .比如 , ABA 对 应 于 OST， 
ABB 对 应 于 STL 等 。 

多 字母 替代 密码 是 在 19 世纪 中 期 发 明 的 , 在 第 一 次 世界 大 战 中 ,英国 人 就 采用 了 这 种 
对 成 组 字母 加 密 的 密码 

4. 多 表 替 代 密 码 

多 表 替 代 密 码 是 由 多 个 简单 替代 密码 构成 的 。 一 种 常用 的 多 表 替 代 密 码 名 为 Vigenere 
〈 维 吉 尼 亚 ) 密码 ， 通 过 循环 使 用 有 限 个 字母 实现 了 替代 。Vigenere 密码 是 把 26 个 字母 循 
环 移 位 ， 排 列 在 一 起 ， 形 成 26X26 的 方 阵 表 ， 加 密 和 解密 时 的 明文 、 密 钥 、 密 文 就 是 表 中 
的 行 、 列 及 交点 的 内 容 。 

多 表 替 代 密 码 有 多 个 单字 母 密 钥 ， 每 个 密 钥 被 用 来 加 密 一 个 明文 字母 。 第 一 个 密 钥 加 
密 明 文 的 第 一 个 字母 ， 第 二 个 密 钥 加 密 明 文 的 第 二 个 字母 ， 依 此 类 推 。 在 所 有 密 钥 用 完 后 ， 
密 钥 再 被 循环 使 用 。 阁 有 20 个 密 钥 ， 那 么 每 隔 20 个 字母 的 明文 都 会 被 同一 个 密 钥 加 密 
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20 就 是 密码 的 周期 ， 周 期 越 长 的 密码 越 难 破译 ， 不 过 使 用 计算 机 可 轻易 地 破译 具有 较 长 周 
期 的 替代 密码 。 多 表 蔡 代 密 码 是 19 世纪 后 期 发 明 的 , 曾 在 美国 南北 战争 期 间 被 联军 使 用 过 。 


2.2.3 移 位 密码 


移 位 密码 加 密 时 只 对 明文 字母 重新 排序 ， 字 母 位 置 变化 了 ， 但 它们 没有 被 隐藏 。 移 位 
密码 加 密 是 一 种 打 乱 原文 顺序 的 替代 法 。 

例如 ， 把 明文 this is a bookmark 按 行 写 出 ， 分 为 3 行 、5 列 ， 则 成 为 以 下 形式 。 

t h 1 s 1 


站 天 

读 出 时 按 从 左 到 右 的 列 顺序 进行 , 可 得 到 密 文 tskhamibasoriok。 则 它 的 密 钥 就 是 12345， 
即 按 列 读 出 的 顺序 。 

此 外 ， 还 可 以 用 另 一 种 顺序 选择 相应 的 列 输出 得 到 密 文 。 如 用 china 为 密 钥 ， 将 this is 
a bookmark 排列 成 上 述 敌阵 ， 密 钥 china 对 应 的 序号 为 23451。 再 以 从 小 到 大 的 顺序 输出 ， 
即 可 得 到 密 文 ioktskhamibasot。 

又 例如 ， 对 于 句子 “ 移 位 密码 加 密 时 只 对 明文 字母 重新 排序 字母 位 置 变 化 但 它们 没 被 
隐藏 ” 可 选择 密 钥 362415， 并 循环 使 用 该 密 钥 对 上 句 进 行 换 位 加 密 。 密 钥 的 数字 序列 代 
表明 文字 符 〈 汉 字 ) 在 密 文中 的 排列 顺序 。 按 照 该 密 钥 加 密 可 得 到 一 个 不 可 理解 的 新 句子 
( 密 文 )“ 密 密 位 码 移 加 对 字 只 明 时 文 新 字 重 排 母 序 置 但 位 变 母 化 没 藏 们 被 它 隐 ”。 解 密 时 
只 需 按 密 钥 362415 的 数字 从 小 到 大 顺序 将 对 应 的 密 文字 符 排列 ， 即 可 得 到 明文 。 


2.2.4 一 次 一 密 钥 密码 


顾名思义 ， 一 次 一 密 钥 密码 就 是 指 每 次 都 使 用 一 个 新 的 密 钥 进行 加 密 ， 然 后 该 密 钥 就 
被 丢弃 ， 下 次 加 密 时 再 选择 一 个 新 密 钥 。 一 次 一 密 钥 密码 是 一 种 理想 的 加 密 方案 。 一 次 一 
密 钥 密 码 的 密 钥 就 像 每 页 都 印 有 密 钥 的 簿 子 一 样 ， 称 为 一 次 一 密 密 钥 本 (One 一 TimePad)。 
一 次 一 密 密 钥 本 就 是 一 个 包括 多 个 随机 密 钥 的 密 钥 字 母 集 ， 其 中 每 一 页 上 记录 一 条 密 钥 。 

使 用 一 次 一 密 密 钥 本 加 密 的 过 程 类 似 于 日 历 的 使 用 过 程 ， 每 使 用 一 个 密 钥 加 密 一 条 信 
息 后 ， 就 将 该 页 撕 掉 作废 ， 下 次 加 密 时 再 使 用 下 一 页 的 密 钥 。 

发 送 者 使 用 密 钥 本 中 每 个 密 钥 字 母 串 加 密 一 条 明文 字母 串 的 过 程 ， 就 是 将 明文 字母 串 
和 密 钥 本 中 的 密 钥 字母 串 进 行 模 26 加 法 运算 。 

接收 者 有 一 个 同样 的 密 钥 本 ， 并 依次 使 用 密 钥 本 上 的 每 个 密 钥 去 解密 密 文 的 每 个 字母 
串 。 在 解密 信息 后 ， 同 样 销 毁 密 钥 本 中 用 过 的 一 页 密 钥 。 

例如 ， 如 果 信 息 是 : 

ONETIMEPAD 

密 钥 本 中 的 一 页 密 钥 是 : 

GINTBDEYWX 
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则 可 得 到 密 文 : 
VWSNKQJOXB 
这 是 因为 : 
(O+G) mod 26=V 
(N+D mod 26=W 
(E+N) mod 26=S 
这 样 ， 加 密 后 得 到 的 密 文 与 明文 的 位 数 相同 。 
如 果 破译 者 不 能 得 到 加 密 信息 的 密 钥 本 ， 那 么 该 方案 就 是 安全 的 。 由 于 每 个 密 钥 序列 
都 是 等 概率 的 (因为 密 钥 是 以 随机 方式 产生 的 ), 破译 者 没有 任何 信息 对 密 文 进行 密码 分 析 。 
如 果 接 收 者 选择 的 密 钥 是 : 
QIPVLAPFIN 
则 解密 后 可 得 明文 为 : 
ENCRYPTION 
如 果 接 收 者 选择 的 密 钥 是 : 
RRPVLAPFIN 
则 解密 后 可 得 明文 为 : 
DECRYPTION 
可 见 ， 选 择 不 同 的 密 钥 就 能 得 到 不 同 的 明文 。 由 于 密 钥 是 等 概率 的 ， 得 到 的 明文 也 是 
等 概率 的 ， 因 此 绝 大 多 数 明文 是 不 可 理解 的 。 即 使 是 像 上 述 两 例 的 明文 一 样 碰巧 是 有 意义 
的 ， 解 密 者 也 没有 办 法 确定 哪个 明文 是 正确 的 。 随 机 密 钥 序列 异 或 随机 的 明文 信息 ， 产 生 
完全 随机 的 密 文 信息 ， 再 大 的 计算 能 力 对 它 也 无 能 为 力 。 

一 次 一 密 钥 的 密 钥 字母 必须 是 随机 产生 的 。 对 这 种 方案 的 攻击 实际 上 是 依赖 于 产生 密 
钥 序 列 的 方法 。 不 要 使 用 伪 随 机 序列 发 生 器 产生 密 钥 ， 因 为 它们 通常 有 非 随机 性 。 如 果 采 
用 真 随机 序列 发 生 器 产生 密 钥 ， 这 种 方案 就 是 安全 的 。 

一 次 一 密 钥 密码 在 今天 仍 有 应 用 场合 ， 主 要 用 于 高 度 机 密 的 低 带 宽 信 道 。 


2.3 ”对 称 密 钥 密 码 体制 


2.3.1 对称 密 钥 密 码 的 概念 


1， 对 称 密 钥 密码 体制 的 基本 思想 

对 称 密 钥 密码 体制 也 叫 传统 密 钥 密码 体制 ， 其 基本 思想 就 是 “加 密 密 钥 和 解密 密 钥 相 
同 或 相近 ”， 由 其 中 一 个 可 推导 出 另 一 个 。 使 用 时 两 个 密 钥 均 须 保密 ， 因 此 该 体制 也 叫 单 密 
钥 密 码 体 制 或 私有 密 钥 密 码 体制 。 对 称 密 钥 密码 体制 模型 如 图 2-3 所 示 。 
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发 送 端 接收 端 


图 2-3 ”对 称 密 钥 密码 体制 模型 
2. 对 称 密 钥 密码 体制 的 工作 流程 
对 称 密 钥 密码 体制 的 工作 流程 是 : 假定 A 和 B 是 两 个 系统 ， 二 者 决定 进行 保密 通信 ; 
A 和 B 通过 某 种 方式 获得 一 个 可 共用 的 密 钥 , 该 密 钥 只 有 A 和 B 知道 , 其 他 用 户 都 不 知道 ; 
人 A 或 B 通 过 使 用 该 密 钥 加 密 发 送 给 对 方 的 信息 ， 只 有 对 方 可 以 解密 该 信息 ， 其 他 用 户 均 无 
法 解密 该 信息 ， 这 样 就 达到 了 信息 传输 的 保密 性 目的 。 


2.3.2 数据 加 密 标 准 DES 


由 IBM 公司 开发 的 数据 加 密 标 准 〈 Data 
Encryption Standard，DES ) 算法 ， 于 1977 年 被 美国 政 
府 定 为 非 机 密 数据 的 数据 加 密 标准 。DES 算法 是 第 一 
个 向 公众 公开 的 加 密 算法 ， 也 是 迄今 为 止 应 用 得 最 广 
泛 的 一 种 商用 数据 加 密 方案 。 

DES 算法 是 最 具 代 表 性 的 分 组 加 密 算法 。 它 将 明 对 可 变换。 
文 按 64bit 分 组 , 输入 的 每 一 组 明文 在 密 钥 控 制 下 ,也 [| “在 密 铀 控制 的 16 次 适 代 》 


生成 64bit 的 密 文 。 密 钥 的 长 度 为 64bit， 其 中 有 8bit 一 一 人 
奇偶 校 验 ， 因 此 密 钥 的 有 效 长 度 为 56bit。DES 的 整 
64bit 的 密 文 


64bit 的 明文 


初始 置换 人 


个 体制 是 公开 的 ， 系 统 的 安全 性 完全 依赖 于 密 钥 的 保 
DES 算法 的 构成 框图 如 图 2-4 所 示 。 
1. 初始 置换 IP 


对 输入 的 64bit 明文 按 初 始 置 换 表 ( 见 图 2-53) 进行 初始 置换 。 该 表 描述 了 置换 后 的 明 
文 信息 流 中 各 bit 的 新 位 置 。 例如, 输入 的 明文 中 的 第 58bit 信息 被 置换 到 了 第 lbit 的 位 置 ， 
输入 的 明文 中 的 第 50bit 信息 被 置换 到 了 第 2bit 的 位 置 ， 依 此 类 推 。 

从 图 2-5 中 可 以 看 出 ，IP 中 各 列 元 素 标明 的 位 置 数 均 相 差 8， 相 当 于 将 原 明文 各 字 节 
按 列 写 出 ， 各 列 bit 经 过 偶 采 样 和 奇 采样 置换 后 ， 再 对 各 行进 行 逆序 。 

2. 乘积 变换 

乘积 变换 是 DES 算法 的 核心 部 分 。 经 过 初始 置换 后 的 64bit 输出 作为 乘积 变换 的 输入 
Xo， 其 左 、 右 各 32bit 分 别 记 为 Lo 和 Ro。， 然 后 经 过 16 次 迭代 。 每 次 迭代 时 只 对 上 次 迭代 
结果 Xii(i<1, .…, 16) 的 右 半 部 分 (32bit) Ri 1 进行 一 系列 的 加 密 变 换 。 在 每 次 迭代 即将 结 


图 2-4 DES 算法 框图 
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束 时 ， 将 上 次 迭代 结果 Xi 的 左 半 部 分 (32bit) Li 与 经 过 加 密 变 换 的 Ri 逐 位 模 2 相 加 ， 
作为 本 次 迭代 结果 X; 的 右 半 部 分 Ri, 并 将 Ril 作为 本 次 迭代 结果 X; 的 左 半 部 分 Li。 最 后 一 
次 迁 代 之 后 ， 不 作 左 右 交 换 ， 这 是 为 了 使 算法 既 能 加 密 也 能 解密 。 每 一 次 迭代 时 ，R; 都 要 
依次 经 过 扩展 置换 E、 密 钥 加 密 、 压 缩 运算 S$、 置换 运算 P。 下 面 简单 介绍 这 些 步 又 。 


(1) 扩展 置换 也 


扩展 置换 王将 输入 的 32bit Ri 扩展 为 48bit 的 输出 。 这 是 通过 对 部 分 bit ( 原 位 置 数 对 
4 取 模 余数 为 0 或 1 的 bit) 重复 使 用 来 完成 的 。 


图 2-6 给 出 了 扩 


(2) 密 钥 加 密 
密 钥 加 密 运 算 将 子 密 钥 产生 器 输出 的 48bit 子 密 钥 Ki 与 扩展 置换 EE 输出 的 48bit 数据 按 


bit 模 2 相 加 。 


展 置换 表 E， 将 表 中 数据 逐 行 读 出 即 可 得 到 48bit 的 输出 。 


3 了 ”由 
汪 、 


50 42 34 26 18 10 2 8 9 1011 12 13 
52 44 36 28 20 12 4 12 13 14 15 16 17 
54 46 38 30 22 14 6 1 
56 48 40 32 24 16 8 3 

49 41 33 25 17 9 1 20 2 和 0 323:-3 站 
S143 35 27 1 13 24 25 26 27 28 29 
53 45 37 29 21 13 5 

55 47 39 31 23 15 7 23823 303132 1 
图 2-5 初始 置换 表 下 图 2-6 扩展 置换 表 E 


子 密 钥 的 生成 过 程 如 图 2-7 所 示 。 


Co (28gbit) 
往 环 左 移 u 次 | |[ 锯 环 左 移 th 次 ] 
+ 
C1 (28bit) | [ Di (28bit) | 
压缩 置换 PC-2 子 密 钥 KK 
cn os | [pa Cabin ] 
压缩 轩 换 PC2 | 于 密 钥 K4 
[ CT | | A | ll6) 
Ci (28bit) Di (28bit) 
压缩 置换 PC-2 子 密 钥 KK 
(1.....16) 
Cie (28bit) | Cs (28bit) | 
t 


压缩 置换 PC-2 | 也 子 密 钥 Ki 


图 2-7 子 密 钥 的 生成 过 程 
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64bit 初始 密 钥 中 有 效 的 56bit 用 于 子 密 钥 计算 。 首 先 按照 密 钥 压缩 置换 表 PC-1 ( 见 
图 2-8) 进行 压缩 置换 ， 得 到 不 含 校 验 信 息 的 56bit 输出 。 将 这 56bit 分 成 左 、 右 两 组 (各 
28bit)， 分 别 记 为 Co 和 Do。Co 和 Do 各 自作 循环 左 移 ， 先 后 生成 C1 和 D1…*… 直 至 Ci 和 
Die。 每 次 迭代 中 ， 循 环 左 移 的 次 数 如 图 2-9 所 示 。 最 后 ， 对 于 每 个 C 和 D; 组 成 的 S6bit， 
按照 压缩 置换 表 PC-2( 见 图 2-10) 进行 压缩 置换 ， 形 成 了 48bit 的 子 密 钥 Ki。 


7 和 物 机 33 .235 WW 

1 58 50 42 34 26 18 
| -3 有 -更 -的 站 攻 
处 天 3 60 52 44 36 
63 355 47 3 HM 23 13 

7 62 54 46 38 30 22 
14 6 61 53 45 37 29 
21 13 5 28 20 12 4 


四 国 四 本 四 


Enanmaaaananaannannn 


MM 47 MM 1 3 
3 28 15 6 21 10 


41 52 31 37 47 55 
30 40 51 45 33 48 
4 49 39 56 34 53 
46 42 50 36 29 32 


图 2-10 密 钥 压缩 置换 表 PC-2 


(3) 压缩 运算 S 

压缩 运算 s 将 经 加 密 运 算 后 得 到 的 48bit 数据 从 左 到 右 分 成 6bit 一 组 , 8 组 数据 分 别 输 
入 8 个 S 盒 中 ， 每 个 S 盒 实现 输入 6bit 到 输出 4bit 的 替代 。 图 2-11 给 出 了 S 盒 〈Si 一 Ss) 
的 替代 关系 表 。 

对 于 每 一 组 输入 (6bit)， 第 lbit 和 第 6bit 合 起 来 决定 选择 S 盒 替 代 关 系 表 的 哪 一 行 ， 
第 2 一 Sbit 共同 决定 选择 S 盒 奉 代 关 系 表 的 哪 一 列 ， 这 样 就 可 以 确定 输出 的 4bit 是 什么 。 
例如 ， 向 Si 中 输入 一 个 二 进 制 数 110010 时 ， 第 lbit (1) 和 第 6bit (0) 合 起 来 为 10， 由 此 
选择 替代 关系 表 中 Si 的 第 2 行 ， 由 第 2 一 Sbit (1001) 决定 选择 替代 关系 表 中 Si 的 第 9 列 
查 表 知 ， 第 2 行 第 9 列 的 值 为 12， 从 而 输出 1100。 

(4) 置换 运算 P 

置换 运算 P 对 S 盒 输出 的 数据 按照 置换 运算 表 了 P《〔〈 见 图 2-12) 进行 置换 。 
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芭 2-12 
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3， 逆 初始 置换 1IP? 本 
将 16 次 迭代 后 输出 的 LieRi。 (64bit) 按照 逆 初 始 38 
置换 表 IP1( 见 图 2-13) 进行 置换 ， 得 到 所 需 的 密 文 。 36 
4. 解密 34 
由 密 文 到 明文 的 解密 处 理 和 由 明文 到 密 文 的 加 密 一 一 一 一 一 一 一 一 
处 理 类 似 。 两 者 使 用 同一 组 子 密 钥 ， 不 同 的 只 是 两 者 的 图 2-13 地 初始 置换 表 严 
生成 次 序 正好 相反 ， 即 解密 时 用 到 的 第 一 个 子 密 钥 Ki 是 加 密 时 最 后 生成 的 子 密 钥 Kie， 依 


LoD 
局 
DW pa 
-9 
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人 
= 
[We 
bo 


下 面 对 比 一 下 使 用 DES 算法 进行 加 密 和 解密 的 处 理 过 程 。 

(1) 加 密 过 程 (2) 解密 过 程 
LoRo 一 64bit 明文 经 IP 置换 RicLi6 一 64bit 密 文 经 卫 置换 
LiRii (i=1,...,16) Rei L(Y 
Ri 一 Li f(KiRin) (i=1,...,16) Li 一 Ri KK ID (i=1,...,16) 
64bit 密 文 bit 一 RicLi6 经 IP 置换 64bit 密 文 bit 一 RoLo 经 IP"! 置换 


DES 算法 作为 第 一 个 公开 的 密码 体制 , 由 于 加 密 函 数 的 复杂 性 和 16 轮 运算 , 至 今 还 未 
发 现 对 DES 算法 存在 实际 可 行 的 密码 分 析 方 法 ， 攻 击 的 方法 目前 还 只 能 是 穷 举 密 钥 。 

不 过 ，DES 算法 也 引起 了 广泛 的 争论 ， 焦 点 集中 在 它 把 56bit 作为 密 钥 的 长 度 ， 人 们 
在 256 密 钥 空 间 对 目前 的 计算 能 力 是 否 切实 可 行 的 问题 上 产生 了 分 歧 。 有 人 曾 设想 设计 专 
门 的 破译 计算 机 遍历 搜索 ,但 没有 实际 的 试验 报道 。 随 着 Internet 的 发 展 ， 网 中 连接 的 计算 
机 (大 多 数 是 PC 机 ) 多 达 数 百 万 台 “〈 目 前 数量 还 在 继续 增加 )， 其 所 拥有 的 巨大 计算 能 力 
在 向 DES 算法 的 挑战 中 充分 显示 了 力量 ,美国 科学 家 从 1997 年 3 月 13 日 开始 , 在 Intemet 
上 数 万 名 志愿 者 的 协同 努力 下 ， 历 经 96 天 ， 成 功 地 破译 了 DES 算法 密 钥 ， 这 是 DES 算法 
问世 以 来 第 一 次 宣布 被 人 攻破 。 

DES 算法 的 被 攻破 在 现代 密码 学 史上 是 一 件 非常 重大 的 事件 ， 它 意味 着 在 坚定 的 破译 
者 面前 ，DES 算法 已 不 再 安全 。 实 际 计算 能 力 不 仅 在 于 超级 计算 机 的 进步 (以 现代 技术 条 
件 , 超级 计算 机 的 发 展 是 可 以 想象 的 ), 但 同时 应 该 更 清楚 地 看 到 男 一 种 新 的 计算 资源 
大 型 互联 网 络 的 分 布 计算 能 力 是 无 法 估计 的 ， 网 上 分 布 的 几 百 万 台 计 算 机 每 秒 并 行 计算 次 
数 本 身 就 是 一 个 天 文 数字 。DES 密码 体制 的 被 破译 ， 实 际 上 并 不 是 DES 体制 本 身 存 在 缺 
陷 DES 算法 设计 的 成 功 之 处 就 在 于 ,密码 分 析 者 要 实现 破译 ， 只 能 采用 穷 举 的 方法 )， 只 
能 说 明 56bit 的 密 钥 长 度 显然 在 不 断 发 展 的 计算 机 技术 面前 已 是 脆弱 的 。 目 前 的 倾向 是 使 用 
128bit 密 钥 。 

5. DES 的 特点 及 应 用 

(1) DES 算法 的 特点 

DES 算法 具有 算法 容易 实现 、 速 度 快 、 通 用 性 强 等 优点 ; 但 也 有 密 钥 位 数 少 、 保 密 强 

度 较 差 和 密 钥 管理 复杂 等 缺点 。 
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(2) DES 的 主要 应 

@ 计算 机 网 络 通信 。 对 计算 机 网 络 通信 中 的 数据 提供 保护 是 DES 的 一 项 重要 应 用 ， 
但 这 些 保护 的 数据 一 般 只 限于 民用 敏感 信息 ， 即 不 在 政府 确定 的 保密 范围 之 内 的 信息 。 

@ 电子 资金 传送 系统 。 采 用 DES 的 方法 加 密 电 子 资金 传送 系统 中 的 信息 ， 可 准确 、 
快速 地 传送 数据 ， 并 可 较 好 地 解决 信息 安全 的 问题 。 

@ 保护 用 户 文件 。 用 户 可 自选 密 钥 ， 用 DES 算法 对 重要 文件 加 密 ， 防 止 未 授权 用 户 

@ 用 户 识别 。DES 还 可 用 于 计算 机 用 户 识别 系统 中 。 


2.3.3 ”对 称 密码 体制 的 其 他 算法 简介 


三 


除 DES 外 ， 对 称 密 钥 密码 算法 还 有 TDEA (3DES)、IDEA、AES、MD5、RC5 等 。 
以 下 分 别 介绍 TDEA、IEDA 和 AES 算法 。 


1. TDEA 算法 Ki K, Ks 

针对 DES 算法 密 钥 短 的 问题 ， 科 学 家 提 ”Mm 可 6 
出 在 DES 的 基础 上 采用 三 重 和 双 密 钥 加 密 的 | ?| 上 
方法 ， 这 就 是 三 重 DES 算法 (Triple Data Ks Ks 和 
Encryption Algorithm，TDEA )。 

TDEA 算法 使 用 3 个 密 钥 ,执行 3 次 DES 5 四 | 四 


算法 ， 如 图 2-14 所 示 。 
2-14 ”三重 DES 的 加 密 解密 过 程 
加 密 过 程 为 : 图 重 的 加 密 解 密 过 程 


C=Ers (Drz (Eri(M))) 
解密 时 按 密 钥 相反 的 顺序 进行 ， 可 表述 为 : 
M=Dri (Erz (Drs (C))) 
其 中 M 表示 明文 ，C 表示 密 文 ，Ex(X) 表示 使 用 密 钥 K 对 X 进行 加 密 ，Dg(X) 表示 
使 用 密 钥 对 密 文 X 解密 。 
TDEA 算法 使 用 2 个 DES 密 钥 Kl 和 Ks 进行 3 次 DES 的 加 密 , 其 效果 相当 于 将 密 钥 长 
度 增 加 1 倍 。TDEA 算法 的 执行 步骤 为 : 
(1) 发 送 方 使 用 密 钥 Ki 进行 第 一 次 DES 加 密 。 
(2) 发 送 方 用 密 钥 Ks 对 上 一 结果 进行 DES 解密 。 
(3) 发 送 方 再 用 密 钥 Ki 对 上 一 结果 进行 第 二 次 DES 加 密 。 
(4) 接收 方 则 相应 地 使 用 K; 解密 ，K2 加 密 ， 再 使 用 Ki 解密 。 
2. IDEA 算法 


国际 数据 加 密 算法 〈International Data Encryption Algorithm，IDEA) 是 由 瑞士 的 著名 
学 者 首先 提出 的 ，1990 年 被 正式 公布 并 在 随后 得 到 了 增强 。 这 种 算法 是 在 DES 算法 的 基础 
上 发 展 起 来 的 ， 类似 于 三 重 DES。 发 展 IDEA 也 是 因为 DES 算法 存在 密 钥 太 短 、 容 易 被 攻 
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类 似 于 DES，IDEA 也 是 一 种 分 组 密码 算法 ， 分 组 长 度 为 64bit， 但 密 钥 长 度 为 128bit。 
该 算法 是 用 128bit 密 钥 对 64bit 二 进 制 码 组 成 的 数据 组 进行 加 密 的 ， 也 可 用 同样 的 密 钥 对 
64bit 密 文 进行 解密 变换 。 

IDEA 与 DES 的 明显 区 别 在 于 循环 函数 和 子 密 钥 生 成 方法 不 同 。 对 循环 函数 来 说 ,IDEA 
不 使 用 $ 盒 变换 , 而 是 依赖 于 3 种 不 同 的 数学 运算 一 一 XOR、16bit 整数 的 二 进 制 加 法 、16bit 
整数 的 二 进 制 乘法 。 这 些 函 数 结合 起 来 可 以 产生 复杂 的 转换 ， 且 这 些 转换 很 难 进行 密码 分 
析 。 子 密 钥 生成 算法 完全 依赖 于 循环 移 位 的 应 用 ， 但 使 用 方法 复杂 。 

IDEA 算法 设计 了 一 系列 加 密 轮 次 , 每 轮 加 密 都 使 用 从 完整 的 加 密 密 钥 中 生成 的 一 个 子 
密 钥 。 每 轮 次 中 也 使 用 压缩 函数 进行 变换 ， 只 是 不 使 用 移 位 变换 。IDEA 中 使 用 异 或 、 模 
2 法 和 模 2'+1 乘法 运算 ， 这 3 种 运算 彼此 混合 可 产生 很 好 的 效果 。 运 算 时 IDEA 把 数据 
分 为 4 个 子 分 组 ， 每 个 分 组 16bit。 

与 DES 的 不 同 之 处 在 于 ，IDEA 采用 软件 实现 和 采用 硬件 实现 同样 快速 。IDEA 的 密 
钥 比 DES 的 多 一 倍 ， 增 加 了 破译 难度 ， 被 认为 是 多 年 后 都 有 效 的 算法 。 

由 于 IDEA 是 在 美国 之 外 提出 并 发 展 起 来 的 ， 避 开 了 美国 法 律 上 对 加 密 技 术 的 诸多 限 
制 ， 因 此 有 关 IDEA 算法 和 实现 技术 的 书籍 都 可 以 自由 出 版 和 交流 ， 可 极 大 地 促进 IDEA 
的 发 展 和 完善 。 

3. AES 算法 


高 级 加 密 标 准 (Advanced Encryption Standard，AES) 是 由 美国 国家 标准 技术 研究 所 
(NIST) 于 1997 年 发 起 征集 的 数据 加 密 标准 ， 旨 在 得 到 一 个 非 保密 的 、 全 球 免 费 使 用 的 
分 组 加 密 算法 ， 并 成 为 替代 DES 的 数据 加 密 标 准 。NIST 于 2000 年 选择 了 比利时 两 位 科学 
家 提出 的 Rijndael 作为 AES 的 算法 。 

Rijndael 是 一 种 分 组 长 度 和 密 钥 长 度 都 可 变 的 分 组 密码 算法 , 其 分 组 长 度 和 密 钥 长 度 都 
分 别 可 为 128bit、192bit 和 256bit。 

Rijndael 算法 具有 安全 、 高 效 和 灵活 等 优点 ， 使 它 成 为 AES 最 合适 的 选择 。 

(1) 安全 性 

Rijndael 算法 的 频数 具有 良好 的 随机 特性 ， 其 密 文 比特 服从 0.5 的 二 项 式 分 布 ， 因 此 其 
安全 性 大 大 增强 。 它 对 抗 线性 攻击 和 差分 攻击 的 能 力也 很 强 。 

(2) 高 效 性 
于 Rijndael 算法 的 线性 和 非 线性 混合 层 都 采用 和 失 阵 运算 ， 并 且 其 变化 轮 数 〈8 一 12 
轮 ) 较 少 ， 使 得 它 具有 很 高 的 速度 。 

(3) 灵活 性 

Rijndael 满足 了 AES 的 要 求 ， 密 钥 长 度 可 为 128bit、192bit 和 256bit， 所 以 可 根据 不 同 
的 加 密级 别 选 择 不 同 的 密 钥 长 度 ; 其 分 组 长 度 也 是 可 变 的 ， 这 正好 弥补 了 DES 的 不 足 ; 其 
循环 次 数 允 许 在 一 定 范围 内 根据 安全 要 求 进行 选取 。 这 些 都 体现 了 该 算法 的 灵活 性 。 
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2.4 ”公开 密 钥 密 码 体制 


对 称 密 钥 密码 体制 在 加 密 、 解 密 时 使 用 同样 的 密 钥 ， 这 些 密 钥 由 发 送 者 和 接收 者 分 别 
保存 。 该 密码 体制 的 主要 问题 是 密 钥 的 生成 、 管 理 、 分 发 等 都 很 复杂 ， 特 别 是 随 着 用 户 的 
增加 ， 密 钥 的 需求 量 成 倍增 加 。 如 果 网 络 中 有 n 个 用 户 ， 其 中 每 两 个 用 户 之 间 都 需要 建立 
保密 通信 时 ， 则 系统 中 所 需 的 密 钥 总 数 达 n(n-1)/2 个 ， 如果 两 个 用 户 之 间 可 能 有 多 次 通信 ， 
而 每 次 通信 的 密 钥 又 不 能 一 样 ， 这 样 网 络 中 需要 的 密 钥 数 又 将 大 量 增加 。 在 网 络 通信 中 ， 
大 量 密 钥 的 分 配 是 一 个 很 复杂 的 问题 。 


2.4.1 公开 密 钥 密码 的 概念 


1. 公 钥 体制 的 概念 

美国 斯 坦 福 大 学 的 两 名 学 者 W. Diffie 和 M. Hellman 于 1976 年 在 IEEE Trans. On 
Information 杂志 上 发 表 的 文章 《New Direction in Cryptography》 中 ， 首 次 提出 了 “公开 密 
钥 密 码 体制 ”的 概念 ， 开 创 了 密码 学 研究 的 新 方向 。 公 开 密 钥 密码 体制 的 产生 主要 有 两 个 
方面 的 原因 : 一 是 对 称 密 钥 密码 体制 的 密 钥 分 配 问 题 ， 二 是 对 数字 签名 的 需求 。 

与 对 称 密 钥 加 密 方法 不 同 ， 公 开 密 钥 密 码 系统 采用 两 个 不 同 的 密 钥 来 对 信息 进行 加 密 
和 解密 ， 也 称 为 “ 非 对 称 式 加 密 方法 ”。 由 于 加 密 密 钥 与 解密 密 钥 不 同 ， 且 由 其 中 一 个 不 容 
易 得 到 另 一 个 ， 且 往往 其 中 一 个 密 钥 是 公开 的 ， 另 一 个 是 保密 的 ， 因 此 我 们 将 这 种 密码 体 
制 称 为 公开 密 钥 密码 体制 。 通 常 ， 在 这 种 密码 系统 中 ， 加 密 密 钥 是 公开 的 ， 解 密 密 钥 是 保 
密 的 ， 加 密 和 解密 算法 都 是 公开 的 。 每 个 用 户 有 一 个 对 外 公开 的 加 密 密 钥 K。( 称 为 公 钥 ) 
和 对 外 保密 的 解密 密 钥 Ka( 称 为 私 钥 )。 

虽然 理论 上 解密 密 钥 可 由 加 密 密 钥 推算 出 来 ， 但 这 种 算法 设计 在 实际 中 是 不 可 能 的 ; 
或 者 虽然 能 够 由 加 密 密 钥 推算 出 解密 密 钥 ， 但 要 花费 很 长 的 时 间 ， 因 而 成 为 不 可 行 的 ; 所 
以 ， 将 加 密 密 钥 公 开 也 不 会 危害 密 钥 的 安全 。 公 开 密 钥 加 密 算法 和 解密 算法 都 是 公开 的 。 
虽然 保密 密 钥 是 由 公开 密 钥 决 定 的 ， 但 却 不 能 由 公开 密 钥 计算 出 来 。 

自 公 钥 加 密 体制 问世 以 来 ， 学 者 们 提出 了 多 种 公 钥 加 密 方法 ， 如 RSA、 背 包 算 法 、 
Elgamal、Rabin、DH 等 ， 其 安全 性 都 是 基于 复杂 的 数学 难题 。 根 据 所 基于 的 数学 难题 来 区 
分 ， 有 以 下 3 类 系统 算法 目前 被 认为 是 安全 有 效 的 ; 大 整数 素 因 子 分 解 系统 〈 代 表 性 的 算 
法 是 RSA)、 椭 圆 曲 线 离散 对 数 系统 (ECC) 和 离散 对 数 系统 (代表 性 的 算法 是 DSA)。 

(1) 当前 最 著名 、 应 用 最 广泛 的 公 钥 系统 的 密码 算法 是 RSA， 它 的 安全 性 是 基于 大 
整数 素 因 子 分 解 的 困难 性 ， 而 大 整数 因 式 分 解 问题 是 数学 上 的 著名 难题 ， 至 今 没 有 有 效 的 
方法 可 以 解决 ， 因 此 可 以 确保 RSA 算法 的 安全 性 。 

(2) 椭圆 曲线 加 密 算法 (Elliptic Curve Cryptography，ECC) 是 基于 离散 对 数 的 计算 
困难 性 。 它 与 RSA 方法 相 比 ， 具 有 安全 性 能 更 高 、 运 算 量 小 、 处 理 速 度 快 、 存 储 空间 占用 


第 2 章 数据 加 密 技术 等， 


小 、 带 宽 要 求 低 等 优点 。 因此 , ECC 系统 是 一 种 安全 性 更 高 、 算 法 实现 性 能 更 好 的 公 钥 系统 。 

(3) 数字 签名 算法 (Data Signature Algorithm，DSA) 是 基于 离散 对 数 问题 的 数字 签 
名 标准 ， 它 仅 提供 数字 签名 功能 ， 不 提供 数据 加 密 功 能 。 

2. 公 钥 体制 的 特征 

(1) 用 K& 对 明文 加 密 后 ， 再 用 Ka 解密 ， 即 可 恢复 出 明文 ， 即 : 

M=Dr {Ex (M)} 
(2) 加 密 和 解密 运算 可 以 对 调 ， 即 : 
MD {Er M)} -Er {ADEM} 
(3) 加 密 密 钥 不 能 用 来 解密 ， 即 : 
MF DE {Er (MD)} 

(4) 在 计算 上 很 容易 产生 密 钥 对 K。 和 Ka， 但 已 知 Ks。 是 不 能 推导 出 Ka 的 ， 或 者 说 从 
KK 得 到 Ky 是 “计算 上 不 可 能 的 ”。 

3. 公 钥 算法 的 应 用 

使 用 公开 密 钥 对 文件 进行 加 密 传输 的 实际 过 程 包括 如 下 4 个 步 又: 

(1) 发 送 方 生成 一 个 加 密 数据 的 会 话 密 钥 ， 并 用 接收 方 的 公开 密 钥 对 会 话 密 钥 进行 加 
密 ， 然 后 通过 网 络 传输 到 接收 方 。 

(2) 发 送 方 对 需要 传输 的 文件 用 会 话 密 钥 进行 加 密 ， 然 后 通过 网 络 把 加 密 后 的 文件 传 
输 到 接收 方 。 

(3) 接收 方 用 自己 的 私 钥 对 发 送 方 加 过 密 的 会 话 密 钥 进行 解密 后 得 到 加 密 文件 的 会 
话 密 钥 。 

(4) 接受 方 用 会 话 密 钥 对 发 送 方 加 过 密 的 文件 进行 解密 得 到 文件 的 明文 形式 。 

因为 只 有 接收 方才 拥有 自己 的 私 钥 ， 所 以 即使 其 他 人 得 到 了 经 过 加 密 的 会 话 密 钥 ， 也 
因为 没有 接收 方 的 私 钥 而 无 法 进行 解密 ， 也 就 保证 了 传输 文件 的 安全 性 。 实 际 上 ， 上 述 文 
件 传输 过 程 中 实现 了 两 个 加 密 、 解 密 过 程 一 一 文件 本 身 的 加 密 和 解密 与 私 钥 的 加 密 和 解密 ， 
这 分 别 通过 对 称 密 钥 密码 体制 的 会 话 密 钥 和 公开 密 钥 密 码 体 制 的 私 钥 和 公 钥 来 实现 。 


2.4.2 RSA 算法 


1. RSA 算法 简介 

目前 , 最 著名 的 公开 密 钥 密 码 算 法 是 RSA, 它 是 由 美国 麻 省 理工 学 院 MIT 的 3 位 科学 
家 Rivest、Shamir 和 Adleman 于 1976 年 提出 的 ， 故 名 RSA， 并 在 1978 年 正式 发 表 。RSA 
是 公 钥 系统 最 具有 典型 意义 的 算法 ， 其 优点 主要 是 原理 简单 、 易 于 使 用 ， 大 多 数 使 用 公 钥 
密码 进行 加 密 和 数字 签名 的 产品 和 标准 使 用 的 都 是 RSA 算法 。 

在 此 不 介绍 RSA 的 理论 基础 (复杂 的 数学 分 析 和 理论 推导 )， 只 简单 介绍 其 密 钥 的 选 
取 和 加 密 、 解 密 的 实现 过 程 。 

假设 用 户 A 在 系统 中 要 进行 数据 加 密 和 解密 ， 则 可 根据 以 下 步骤 选择 密 钥 和 进行 密码 
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变换 。 
(1) 随机 地 选取 两 个 不 同 的 大 素数 p 和 gq (一 般 为 100 位 以 上 的 十 进 制 数 ) 予以 保密 。 
(2) 计算 n=p*，gq， 作 为 A 的 公开 模 数 。 
(3) 计算 Euler 函数 : 
Pn)=(p-1)* (g-1) modn 
(4) 随机 地 选取 一 个 与 (p-1)*(g-1) 互 素 的 整数 e， 且 e<@(n)， 作 为 A 的 公开 密 钥 。 
(5) 用 欧 几 里 德 算 法 ， 计 算 满足 同 余 方程 
e* d==] (modP(n)) 


的 解 9， 作 为 A 用 户 的 保密 密 钥 。 
(6) 任何 向 A 发 送 明文 的 用 户 ， 均 可 用 A 的 公开 密 钥 e 和 公开 模 数 n， 根 据 式 


C=M’ (mod n) 
计算 出 密 文 C。 
(7) 用 户 A 收 到 C 后 ， 可 利用 自己 的 保密 密 钥 4， 根 据 式 
M=C’ (mod n) 


还 原 出 明文 M。 
2. RSA 算法 举例 
现 以 RSA 算法 为 例 ， 对 明文 HI 进行 加 密 。 
(1) 选择 密 钥 
设 p=5，g=11， 则 : 
n=55, P(n)=40 
取 e=3( 公 钥 )， 根 据 e* 4 三 1 (modg(n))， 则 可 得 : 
d=27〔 私 钥 ) 
(2) 加 密 
设 明 文 编码 为 ， 空 格 =00，A=01，B=02,.….,Z=26， 则 明文 HI=0809 
C1=(08)’ mod 55 =17 
C=(09)’ mod 55 =14 
Q=17, N=14 
所 以 ，HI 的 密 文 为 QN。 
(3) 恢复 明文 
Mn=Cdmodn =(17)” mod 55 =08 
M=C° modn =(14)” mod 55 =09 
因此 ， 明 文 为 HI。 
3. RSA 算法 的 特点 及 应 用 
RSA 算法 具有 密 钥 管理 简单 (网 上 每 个 用 户 仅 需 保密 一 个 密 钥 ， 且 不 需 配 送 密 钥 )、 
便于 数字 签名 、 可 靠 性 较 高 (取决 于 分 解 大 素数 的 难 易 程度 ) 等 优点 , 但 也 具有 算法 复杂 、 
加 密 / 解 密 速度 慢 、 难 于 用 硬件 实现 等 缺点 。 因 此 , 公 钥 密码 体制 通常 被 用 来 加 密 关 键 性 的 、 
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核心 的 、 少 量 的 机 密 信息 ， 而 对 于 大 量 要 加 密 的 数据 通常 采用 对 称 密 钥 密码 体制 。 

RSA 算法 的 安全 性 建立 在 难于 对 大 整数 提取 因子 的 基础 上 ， 已 知 的 证 据 都 表明 大 整数 
因 式 分 解 问题 是 一 个 极其 困难 的 问题 ， 但 是 随 着 分 解 大 整数 方法 的 进步 及 完善 、 计 算 机 速 
度 的 提高 以 及 计算 机 网 络 的 发 展 ， 要 求 作为 RSA 加 密 / 解 密 安全 保障 的 大 整数 越 来 越 大 。 

RSA 算法 的 保密 性 取决 于 对 大 素数 因 式 分 解 的 时 间 。 假 定 用 10° 次/ 秒 的 计算 机 进行 运 
算 , 用 最 快 的 公式 分 解 n=100 位 十 进 制 数 要 用 74 年 , 分 解 200 位 数 要 用 3.8X10 年 。 可见 ， 
当 n 足够 大 时 (p 和 g 各 为 100 位 时 ，n 为 200 位 )， 对 其 进行 分 解 是 很 困难 的 。 可 以 说 ， 
RSA 的 保密 强度 等 价 于 分 解 n 的 难 易 程度 。 

RSA 算法 为 公用 网 络 上 信息 的 加 密 和 鉴别 提供 了 一 种 基本 的 方法 。 它 通常 是 先生 成 一 
对 RSA 密 钥 ， 其 中 之 一 是 保密 密 钥 ， 由 用 户 保 存 ， 另 一 个 为 公开 密 钥 ， 可 对 外 公开 ， 甚 至 
可 在 网 络 服务 器 中 注册 。 


2.4.3 ”混合 加 密 方 法 


以 DES 为 代表 的 对 称 密 钥 密码 算法 的 特点 是 : 算法 简单 ， 加 /解密 运算 速度 快 ， 但 其 
密 钥 管理 复杂 ， 不 便于 数字 签名 。 

对 称 密 钥 密码 系统 的 安全 性 依赖 于 以 下 两 个 因素 ; 第 一 ， 加 密 算法 必须 足够 强 ， 仅 仅 
基于 密 文本 身 去 解密 信息 在 实践 上 是 不 可 能 的 ， 第 二 ， 加 密 系 统 的 安全 性 依赖 于 密 钥 的 保 
密 性 ， 而 不 是 算法 的 保密 性 。 对 称 密 钥 密 码 系统 的 算法 实现 速度 很 快 ， 软 件 实现 的 速度 都 
可 达到 每 秒 数 兆 或 数 十 兆 比特 。 还 是 基于 这 些 特 点 ， 对 称 密 钥 密 码 系统 得 到 了 广泛 的 应 用 。 
因为 该 算法 不 需要 保密 ,所 以 制造 商 可 以 大 规模 开发 、 生 产 低 成 本 的 芯片 以 实现 数据 加 密 。 
对 称 密 钥 密码 系统 最 大 的 问题 是 密 钥 的 分 发 和 管理 非常 复杂 、 代 价 高 昂 ， 尤 其 对 于 大 型 网 
络 ， 密 钥 的 分 配 和 保存 就 成 了 大 问题 ， 其 另 一 个 缺点 是 不 便于 实现 数字 签名 。 

公开 密 钥 密码 系统 的 优点 是 密 钥 管 理 方便 (具有 n 个 用 户 的 网 络 仅 需要 2n 个 密 钥 ) 和 
便于 实现 数字 签名 。 因 此 ， 最 适合 于 电子 商务 等 应 用 需要 。 但 是 ， 因 为 公开 密 钥 密 码 系 统 
是 基于 尖端 的 数学 难题 ， 计 算 非 常 复杂 ， 但 它 的 加 密 / 解 密 速度 却 远 赶不上 对 称 密 钥 加 密 系 
统 。 因 此 ， 在 实际 应 用 中 ， 公 开 密 钥 密码 系统 并 没有 完全 取代 对 称 密 钥 密码 系统 ， 而 是 采 
用 相互 结合 〈 混 合 ) 的 方式 ， 如 图 2-15 所 示 。 


B 的 公 钥 


加 密 后 的 
对 称 密 钥 


加 密 
( 公 钥 算法 ) 


明文 加 等 加 密 ”| 明文 
(对 称 算法 ) 二 (对 称 算法 ) 


图 2-15 两 种 密码 体制 的 混合 应 上 


加 密 
( 公 钥 算法 ) 


对 称 密 钥 
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这 种 混合 加 密 方式 可 以 较 好 地 解决 加 密 / 解 密 运 算 的 速度 问题 和 密 钥 分 配 管理 问题 。 其 
原理 是 : 在 发 送 端 ， 先 使 用 DES 或 IDEA 对 称 密 钥 算法 加 密 数 据 ， 然 后 使 用 公开 密 钥 算法 
RSA 加 密 前 者 的 对 称 密 钥 ; 到 接收 端 ， 先 使 用 RSA 算法 解密 出 对 称 密 钥 ， 再 用 对 称 密 钥 解 
密 被 加 密 的 数据 。 要 加 密 的 数据 量 通常 很 大 ， 但 因 对 称 密 钥 算 法 对 每 个 分 组 的 处 理 仅 需 很 
短 的 时 间 ， 因 此 对 大 量 数据 的 加 密 / 解 密 不 会 影响 效率 〈 若 使 用 DES 加 密 芯 片 ， 则 速度 会 
更 快 ); 用 RSA 算法 将 对 称 密 钥 加 密 后 就 可 公开 了 ， 而 RSA 的 加 密 密 钥 也 可 以 公开 ， 整 个 
系统 需 保 密 的 只 有 少量 RSA 算法 的 解密 密 钥 , 因此 这 些 密 钥 在 网 络 中 就 很 容易 被 分 配 和 传 
输 了 ; 又 因为 对 称 密 钥 的 数据 量 很 少 (64/128bit)，RSA 只 需 对 其 进行 1] 一 2 个 分 组 的 加 密 / 
解密 即 可 ， 也 不 会 影响 系统 的 效率 。 因 此 ， 使 用 这 种 混合 加 密 方式 既 可 以 体现 对 称 密 钥 算 
法 速度 快 的 优势 ， 也 可 发 挥 公 钥 密 钥 算 法 管理 方便 的 优势 ， 二 者 各 取 其 优 ， 扬 长 避 短 。 


2.5 数字 签名 


2.5.1 数字 签名 概述 


在 文件 上 手写 签名 长 期 以 来 被 用 作 签 名 者 身份 的 证 明 ， 或 表示 同意 文件 的 内 容 。 签 名 
为 什么 会 如 此 引 人 注 目 呢 ? 

(1) 签名 是 可 信 的 。 签 名 使 文件 的 接收 者 相信 签名 者 是 慎重 地 在 文件 上 签字 的 。 

(2) 签名 不 可 伪造 。 签 名 证 明 是 签字 者 而 不 是 其 他 人 在 文件 上 签字 。 

(3) 签名 不 可 重用 。 签 名 是 文件 的 一 部 分 ， 不 法 之 徒 不 可 能 将 签名 移 到 不 同 的 文件 上 。 

(4) 签名 的 文件 是 不 可 改变 的 。 在 文件 签名 后 ， 文 件 不 能 改变 。 

(5) 签名 是 不 可 抵赖 的 。 签 名 和 文件 是 物理 的 东西 ， 签 名 者 事后 不 能 声称 他 没有 签 
过 名 。 

在 现实 生活 中 ， 关 于 签名 的 这 些 陈 述 没 有 一 个 是 完全 真实 的 ， 如 签名 能 够 被 伪造 ， 签 
名 能 够 从 文章 中 盗用 移 到 另 一 篇 文章 中 ， 文 件 在 签名 后 能 够 被 改变 …… 然 而 ， 我 们 之 所 以 
愿意 与 这 些 问 题 纠 缠 在 一 起 ， 是 因为 欺骗 是 困难 的 ， 并 且 还 要 冒 被 发 现 的 危险 。 

我 们 可 以 在 计算 机 上 实现 数字 签名 ， 但 还 存在 一 些 问题 。 首 先 ， 计 算 机 文件 易于 复制 ， 
即使 某 人 的 签名 难以 伪造 (例如 ， 手 写 签名 的 图 形 ), 但 是 从 一 个 文件 到 另 一 个 文件 复制 和 
粘贴 有 效 的 签名 都 是 很 容易 的 ， 这 种 签名 并 没有 什么 意义 ; 其 次 ， 文 件 在 签名 后 也 易于 修 
改 ， 并 且 不 会 留 下 任何 修改 的 痕迹 。 

公 钥 密码 学 使 得 数字 签名 成 为 可 能 。 用 私 钥 加 密 信息 ， 这 时 就 称 为 对 信息 进行 数字 签 
名 。 将 密 文 附 在 原文 后 ， 称 为 数字 签名 。 其 他 人 用 相应 的 公 钥 去 解密 密 文 ， 将 解 出 的 明文 
与 原文 相 比 较 ， 如 果 相 同 则 验证 成 功 ， 这 称 为 验证 签名 。 

现在 ， 已 有 很 多 国家 制定 了 电子 签名 法 。《 中 华人 民 共 和 国电 子 签名 法 》 已 于 2004 年 
8 月 28 日 第 十 届 全 国人 民 代表 大 会 常务 委员 会 第 十 一 次 会 议 通 过 ， 并 已 于 2005 年 4 月 1 
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日 开始 施行 。 
2.5.2 数字 签名 的 方法 


基本 的 数字 签名 协议 是 简单 的 : 

(1) Alice 用 她 的 私 钥 对 文件 加 密 ， 从 而 对 文件 签名 。 

(2) Alice 将 签名 的 文件 传 给 Bob。 

(3) Bob 用 Alice 的 公 钥 解密 文件 ， 从 而 验证 签名 。 

这 个 协议 不 需要 第 三 方 去 签名 和 验证 ， 甚 至 协议 的 双方 也 不 需要 第 三 方 来 解决 争端 。 
如 果 Bob 不 能 完成 第 三 步 ， 那 么 他 知道 签名 是 无 效 的 。 

这 个 协议 也 满足 我 们 期 待 的 特征 : 

(1) 签名 是 可 信 的 。 当 Bob 用 Alice 的 公 钥 验证 信息 时 ， 他 知道 是 由 Alice 签名 的 。 

(2) 签名 是 不 可 伪造 的 。 只 有 Alice 知道 她 的 私 钥 。 

(3) 签名 是 不 可 重用 的 。 签 名 是 文件 的 函数 ， 并 且 不 可 能 转换 成 另外 的 文件 。 

(4) 被 签名 的 文件 是 不 可 改变 的 。 如 果 文 件 有 任何 改变 ， 文 件 就 不 可 能 用 Alice 的 公 
钥 验 证 成 功 。 

(5) 签名 是 不 可 抵赖 的 。Bob 不 用 Alice 的 帮助 就 能 验证 Alice 的 签名 。 

在 实际 的 实现 过 程 中 ， 采 用 公 钥 密码 算法 对 长 文件 签名 效率 太 低 。 为 了 节约 时 间 ， 数 
字 签 名 协议 经 常 和 单 向 散 列 函数 一 起 使 用 。Alice 并 不 对 整个 文件 签名 ， 只 对 文件 的 散 列 值 
签名 。 在 这 个 协议 中 ， 单 向 散 列 函数 和 数字 签名 算法 是 事先 就 协商 好 了 的 。 

(1) Alice 产生 文件 的 散 列 值 。 

(2) Alice 用 她 的 私 钥 对 散 列 值 加 密 ， 借 此 表示 对 文件 签名 。 

(3) Alice 将 文件 和 散 列 签名 送 给 Bob。 

(4) Bob 用 Alice 发 送 的 文件 产生 文件 的 散 列 值 ， 然 后 用 Alice 的 公 钥 对 签名 的 散 列 
值 解密 。 如 果 解 密 的 散 列 值 与 自己 产生 的 散 列 值 相同 ， 签 名 就 是 有 效 的 。 

这 样 计算 速度 大 大 地 提高 了 ， 并 且 两 个 不 同 的 文件 有 相同 的 160bit 散 列 值 的 概率 极 小 
(122%)。 因 此 ， 使 用 单 向 散 列 函数 的 签名 和 文件 签名 一 样 安全 。 如 果 使 用 非 单 向 散 列 函 
数 ， 则 可 能 导致 多 个 不 同文 件 的 散 列 值 相 同 ， 这 样 对 某 一 特定 的 文件 签名 就 可 复制 为 对 大 
量 文件 的 签名 。 

这 个 协议 还 有 其 他 好 处 。 首 先 ， 签 名 和 文件 可 以 分 开 保存 。 其 次 ， 接 收 者 对 文件 和 签 
名 的 存储 量 要 求 大 大 降低 了 。 档 案 系统 可 用 这 类 协议 来 验证 文件 的 存在 而 不 需 保 存 它们 的 
内 容 。 中 央 数 据 库 只 存储 各 个 文件 的 散 列 值 ， 根 本 不 需要 查看 文件 。 用 户 将 文件 的 散 列 值 
传 给 数据 库 ， 然 后 数据 库 对 提交 的 文件 散 列 值 加 上 时 间 标 记 并 保存 。 如 果 以 后 有 人 对 某 文 
件 的 存在 发 生 争 执 ， 数 据 库 可 通过 查找 文件 的 散 列 值 来 解决 争端 。 另 外 ， 不 对 消息 本 身 签 
名 ， 而 对 消息 的 散 列 值 签名 可 以 抵御 某 些 攻击 。 

实际 上 ,Bob 在 某 些 情况 下 可 以 欺骗 Alice, 他 可 能 把 签名 和 文件 一 起 重用 。 如 果 Alice 
在 合同 上 签名 ， 这 种 重用 不 会 有 什么 问题 。 但 如 果 Alice 在 一 张 数字 支票 上 签名 ， 这 样 做 
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就 有 问题 了 。 

假若 Alice 交 给 Bob 一 张 签名 的 数字 支票 ，Bob 把 支票 拿 到 银行 去 验证 签名 ， 然 后 把 
钱 从 Alice 的 账户 上 转 到 自己 的 账户 上 。 如 果 Bob 心怀 不 轨 ， 故 意 保存 了 数字 支票 的 副本 ， 
过 了 一 星期 , 他 又 把 数字 支票 拿 到 银行 (也 可 能 是 另 一 家 银行 )， 银 行 验证 数字 支票 后 将 再 
次 把 钱 转 到 他 的 账户 上 。 只 要 Alice 不 去 核对 支票 适 清 账 ，Bob 就 可 以 一 直 干 下 去 。 

因此 ， 数 字 签 名 经 常 包 括 时间 标 记 。 对 日 期 和 时 间 的 签名 附 在 信息 中 ， 并 与 信息 中 的 
其 他 部 分 一 起 签名 。 银 行将 时 间 标 记 存 储 在 数据 库 中 。 现 在 ， 当 Bob 第 二 次 想 支取 Alice 
的 支票 时 ， 银 行 就 会 检查 时 间 标 记 是 否 和 数据 库 中 的 一 样 。 由 于 银行 已 经 支付 了 带 有 这 一 
时 间 标 记 的 支票 ， 于 是 报警 。 

Alice 也 有 可 能 用 数字 签名 进行 欺骗 ， 并 且 无 人 能 阻止 她 。 她 可 能 对 文件 签名 ， 然 后 声 
称 并 没有 那样 做 。 首 先 ， 她 按 常 规 对 文件 签名 ， 然 后 以 匿名 的 形式 发 布 她 的 私 铀 ， 或 者 故 
意 把 私 钥 丢 失 在 公共 场所 。 这 样 ， 发 现 该 私 钥 的 任何 人 都 可 假冒 Alice 对 文件 签名 ， 于 是 
Alice 就 声明 她 的 签名 受到 侵害 ， 其 他 人 正在 假冒 她 签名 云云 。 也 就 是 说 ， 她 否认 对 文件 的 
签名 和 任何 其 他 的 用 她 的 私 钥 签名 的 文件 ， 这 叫做 抵赖 。 

采用 时 间 标 记 可 以 部 分 地 限制 这 种 欺骗 ， 否 则 Alice 总 可 以 声称 她 的 密 钥 在 较 早 的 时 
候 就 丢失 了 。 如 果 Alice 把 事情 做 得 很 好 ， 她 就 可 以 对 文件 签名 ， 然 后 成 功 地 声称 并 没有 
对 文件 签名 ， 这 应 该 从 法 律 或 制度 上 来 解决 。 丢 失 私 钥 造成 的 损失 应 该 由 私 钥 拥 有 者 来 承 
担 ， 这 就 像 公章 丢失 造成 的 损失 应 该 由 该 单位 来 承担 一 样 。 

现在 讨论 一 下 多 重 签名 。Alice 和 Bob 怎么 对 同一 数字 文件 签名 呢 ? 不 用 单 向 散 列 函数 
有 了 两 种 选择 。 第 一 种 选择 是 Alice 和 Bob 分 别 对 文件 的 副本 签名 ， 结 果 签 名 的 信息 是 原文 
的 两 倍 ， 第 二 种 就 是 Alice 首先 签名 ， 然 后 Bob 对 Alice 的 签名 再 进行 签名 ， 这 是 可 行 的 
但 是 在 不 验证 Bob 的 签名 的 情况 下 就 验证 Alice 的 签名 是 不 可 能 的 。 

采用 单 向 散 列 函数 ， 多 重 签名 很 容易 做 到 。 

(1) Alice 对 文件 的 散 列 值 签名 。 

(2) Bob 对 文件 的 散 列 值 签名 。 

(3) Bob 将 他 的 签名 交 给 Alice。 

(4) Alice 把 文件 、 她 的 签名 和 Bob 的 签名 发 给 Carol。 

(5) Carol 验证 Alice 和 Bob 的 签名 。 

Alice 和 Bob 能 同时 或 顺序 地 完成 步骤 (1) 和 步骤 (2)，Carol 可 以 只 验证 其 中 一 人 的 
签名 而 不 用 验证 另 一 人 的 签名 。 


2.5.3” 带 加 密 的 数字 签名 


通过 把 公 钥 密码 和 数字 签名 结合 起 来 ， 即 可 产生 一 个 协议 ， 达 到 将 数字 签名 的 真实 性 
和 加 密 的 安全 性 合 二 为 一 的 目的 ， 如 图 2-16 所 示 。 想 象 你 写 的 一 封 信 : 签名 提供 了 原作 者 
的 证 明 ， 而 信封 提供 了 秘密 性 。 


第 2 章 数据 加 密 技术 . 
用 Alice 的 私 钥 签名 用 Bob 的 公 钥 加 密 


用 Bob 的 私 钥 解 密 用 Alice 的 公 钥 验证 


图 2-16 带 加 密 的 数字 签名 
(1) Alice 用 她 的 私 钥 对 信息 签名 : 


Sa (M) 
(2) Alice 用 Bob 的 公 钥 对 签名 的 信息 加 密 ， 然 后 发 送 给 Bob: 
Es(Sa(M)) 


(3) Bob 用 他 的 私 钥 解 密 : 
De(Ep(Sa(M))): Sa(M) 

(4) Bob 用 Alice 的 公 钥 验证 并 且 恢 复出 信息 : 

Va(SAM)= M 

加 密 前 签名 是 很 自然 的 。 当 Alice 写 一 封 信 时 ， 她 在 信 中 签名 ， 然 后 把 信 装 入 信封 中 。 

如 果 她 把 没 签名 的 信 放 入 信封 ， 然 后 在 信封 上 签名 ， 那 么 Bob 可 能 会 担心 是 否 这 封 信 
被 替换 了 。 

在 电子 通信 中 也 是 这 样 ， 加 密 前 签名 是 一 种 谨慎 的 习惯 做 法 。 这 样 做 不 仅 更 安全 其 他 
人 不 可 能 从 加 密 信息 中 把 签名 移 走 ， 然 后 加 上 他 自己 的 签名 )， 而 且 还 有 法 律 上 的 考虑 一 一 
如 果 签 名 者 不 能 见 到 被 签名 的 文本 ， 那 么 签名 就 不 具 法 律 效 力 。 

Alice 没有 理由 必须 把 同一 个 公 钥 / 私 钥 密 钥 对 用 于 加 密 和 签名 。 她 可 以 有 两 个 密 钥 对 ; 
一 个 用 于 加 密 ， 另 一 个 用 于 签名 。 分 开 使 用 有 它 的 好 处 : 她 能 够 把 她 的 加 密 密 钥 交 给 警察 
而 不 泄露 她 的 签名 , 一 个 密 钥 被 托管 而 不 会 影响 到 其 他 密 钥 , 并 且 密 钥 能 够 有 不 同 的 长 度 ， 
能 够 在 不 同 的 时 间 终 止 使 用 。 

当然 ， 这 个 协议 应 该 用 时 间 标 记 来 阻止 信息 的 重复 使 用 。 


2.6 密 钥 管理 


在 现代 密码 学 研究 中 ， 加 密 算 法 和 解密 算法 一 般 都 是 公开 的 。 当 合理 的 密码 算法 确定 
后 ， 密 码 系统 的 保密 程度 就 完全 取决 于 密 钥 的 保密 程度 。 因 此 ， 密 钥 管 理 在 整个 保密 系统 
中 占有 极其 重要 的 地 位 。 若 密 钥 得 不 到 合理 的 保护 和 管理 ， 即 使 算法 再 复杂 ， 保 密 系统 也 
是 脆弱 的 。 密 钥 管理 的 目的 就 是 要 保证 数据 保密 系统 的 安全 性 。 

密 钥 管理 包括 密 钥 的 产生 、 密 钥 的 存储 和 保护 、 密 钥 的 更 新 、 密 钥 的 分 发 、 密 钥 的 验 
证 、 密 钥 的 使 用 、 密 钥 的 销毁 等 。 这 些 问 题 的 本 质 就 是 要 正确 地 解决 密 钥 从 产生 到 使 用 全 
过 程 的 安全 性 和 实用 性 。 
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密 钥 管理 最 主要 的 过 程 是 密 钥 的 产生 、 保 护 和 分 发 ， 其 次 ， 是 网 络 环境 下 的 密 钥 管理 
算法 。 


2.6.1 密 角 的 产生 


密码 算法 的 安全 性 依赖 于 密 钥 ， 如 果 采 用 一 个 弱 的 密 钥 生成 方法 ， 那 么 整个 加 密 体制 
就 是 弱 的 。 因 为 弱 的 密 钥 生 成 算法 很 容易 被 破译 ， 密 码 分 析 者 在 破译 了 密 钥 后 不 需要 再 去 
破译 算法 就 可 以 得 到 他 想 要 的 东西 了 。 因 此 ， 密 钥 的 产生 是 密 钥 管理 中 的 基本 问题 。 

好 的 密 钥 是 指 那些 由 自动 处 理 设 备 生 成 的 随机 字符 串 。 如 果 密 钥 有 64bit 长 , 每 一 个 可 
能 的 64bit 密 钥 必 须 具 有 相等 的 可 能 性 。 因此 , 密 钥 的 生成 首先 要 保证 所 产生 的 密 钥 具有 良 
好 的 随机 性 ， 避 免 出 现 简单 、 明 显 的 密 钥 或 一 串 容易 记忆 的 字符 或 数字 。 现 代 网 络 的 信息 
量 越 来 越 大 ， 需 要 的 密 钥 量 也 大 ， 因 此 密 钥 的 产生 要 能 自动 地 、 大 量 地 进行 。 

密 钥 的 产生 主要 利用 噪声 源 技术 ， 该 技术 可 产生 二 进 制 的 随机 序列 或 与 之 对 应 的 随机 
数 。 其 主要 理论 基础 是 混沌 理论 。 使 用 随机 序列 发 生 器 可 以 自动 地 产生 大 量 随 机 的 密 钥 。 


2.6.2 密 角 的 保护 和 分 发 


1， 密 钥 的 分 层 保护 

密 钥 的 分 层 保护 也 叫 主 密 钥 保 护 体制 ， 它 是 以 对 称 密 钥 为 基础 的 管理 体制 。 该 体制 可 
把 密 钥 分 为 几 层 ， 高 一 层 密 钥 保护 低 一 层 密 钥 。 

一 般 把 密 钥 分 为 主 密 钥 、 畏 助 主 密 钥 和 会 话 密 钥 3 个 层次 。 每 个 主 密 钥 对 多 个 辅助 主 
密 铀 进行 加 密 保护 ， 每 个 畏 助 主 密 钥 对 多 个 会 话 密 钥 进行 加 密 保护 。 最 后 ， 青 用 会 话 密 铀 
对 传输 的 具体 信息 进行 加 密 保护 。 

该 体制 的 思想 就 是 把 网 络 中 大 量 使 用 的 会 话 密 钥 置 于 畏 助 主 密 钥 的 保护 之 下 ， 再 由 极 
少量 的 主 密 钥 保 护 辅助 主 密 钥 。 经 过 这 样 保护 后 ， 在 接收 端 各 通信 点 需 经 过 相应 的 解密 才 
能 得 到 通信 所 用 的 会 话 密 铀 ， 从 而 使 会 话 密 钥 更 安全 。 

整个 网 络 的 密 钥 的 保护 与 传输 都 由 计算 机 控制 ， 实 现 了 密 钥 管 理 的 自动 化 。 

2， 一 种 会 话 密 钥 的 保护 体制 

在 用 户 A 与 B 的 通信 系统 中 ， 可 采用 如 下 步骤 分 发 和 保护 会 话 密 乌 。 


(1) 用 户 A 产生 自己 的 公 钥 K。 和 私 钥 Ks。 

(2) 用 户 A 将 K& 传 输 给 用 户 B。 

(3) 用 户 B 用 A 的 公 钥 久 加 密 自 己 产生 的 一 个 会 话 密 钥 KK， 并 传输 给 A。 
(4) 用 户 A 用 自己 的 私 钥 Ks 解 密 后 得 到 K,。 

(5) 用 户 A 用 KK 加 密 要 发 给 B 的 数据 ;通信 结束 后 ， 玉 被 清除 。 
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2.6.3 网络 环境 下 的 密 角 管理 算法 


Kerberos 是 一 种 使 用 对 称 密 钥 加 密 算法 实现 通过 可 信任 的 第 三 方 密 钥 分 配 中心 (Key 
Distribute Center，KDC) 的 身份 验证 系统 ， 其 主要 功能 之 一 便 是 解决 保密 密 钥 管理 与 分 发 
的 问题 。 

Kerberos 中 有 3 个 通信 参与 方 : 需要 验证 身份 的 通信 双方 和 一 个 双方 都 信任 的 第 三 方 ， 
即 KDC。KDC 可 以 看 作 一 个 秘密 密 钥 源 ， 与 DES 一 起 使 用 ;也 可 以 是 一 个 公开 密 钥 源 。 

Kerberos 就 是 建立 在 这 个 安全 的 、 可 信赖 的 密 钥 分 配 中 心 的 概念 上 。 建 有 KDC 的 系统 
用 户 只 需 保 管 与 KDC 之 间 使 用 的 密 钥 加 密 密 钥 一 一 与 KDC 通信 的 密 钥 即 可 。 

KDC 的 工作 过 程 简 述 如 下 : 

(1) 假设 用 户 A 要 与 B 通信，A 先 向 KDC 提出 申请 与 B 的 联系 和 通信 会 话 密 钥 。 

(2) KDC 为 用 户 A 和 B 选择 一 个 会 话 密 钥 Ks， 分别 用 A 和 B 知道 的 密 钥 进行 加 密 ， 
然后 分 别传 送 给 A 和 B。 

(3) 用 户 A 和 B 得 到 KDC 加 密 过 的 信息 后 ， 分 别 解 密 ， 得 到 会 话 密 钥 K,。 

(4) 至 此 ， 用 户 A 与 B 即 可 利用 KK 进行 保密 通信 了 。 通 信 结 束 后 ，K, 随 即 被 销毁 。 

目前 ， 各 主要 操作 系统 都 支持 Kerberos 验证 系统 ， 比 如 Windows NT。Kerberos 实际 
上 已 成 为 工业 界 的 事实 标准 。Kerberos 使 用 对 称 密 钥 算法 来 实现 通过 KDC 的 验证 服务 ， 它 
提供 了 网 络 通信 方 相互 验证 身份 的 手段 ， 但 并 不 依赖 于 主机 操作 系统 和 地 址 。 


2.7 网络 保密 通信 


2.7.1 通信 安全 


虽然 网 络 可 以 使 经 济 、 文 化 、 医 疗 、 科 学 、 教 育 和 交通 等 领域 的 信息 更 加 有 效 和 迅速 
地 被 获取 、 传 输 和 应 用 ， 但 如 果 网 络 系统 和 用 户 缺 乏 适 当 的 安全 保护 措施 ， 这 些 信息 很 容 
易 在 传输 过 程 中 被 非法 获取 ， 以 及 造成 网 络 系统 的 其 他 资源 被 破坏 等 ， 从 而 使 系统 遭受 重 
大 的 损失 。 为 了 充分 利用 网 络 系统 资源 ， 首 先 就 要 保证 网 络 系统 的 通信 安全 。 要 保证 系统 
的 通信 安全 ， 就 要 充分 认识 到 网 络 系统 的 脆弱 性 , 特别 是 网 络 通信 系 统 和 通信 协议 的 弱点 ， 
估计 到 系统 可 能 遭受 的 各 种 威胁 ， 采 取 相 应 的 安全 策略 ， 尽 可 能 地 减少 系统 面临 的 各 种 风 
伶 ， 保 证 计算 机 网 络 系统 具有 高 度 的 可 靠 性 、 信 息 的 完整 性 和 保密 性 。 

网 络 通信 系统 可 能 面临 各 种 各 样 的 威胁 ， 例 如 来 自 各 种 自然 灾害 、 恶 劣 的 系统 环境 、 
人 为 破坏 和 误 操 作 等 。 所 以 ， 要 保护 网 络 通信 安全 ， 不 仅 必 须要 克服 各 种 自然 和 环境 的 影 
响 ， 更 重要 的 是 要 防止 人 为 因素 造成 的 威胁 。 

1. 线路 安全 

通信 过 程 中 ， 通 过 在 通信 线路 上 搭 线 可 以 窃取 〈 和 窃听 ) 传输 的 信息 ， 还 可 以 使 用 相应 
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设施 接收 线路 上 辐射 的 信息 ， 这 些 都 是 通信 中 的 线路 安全 问题 。 对 此 应 该 如 何 应 对 呢 ? 

一 种 简单 但 很 昂贵 的 电缆 加 压 技术 可 保护 通信 电缆 安全 ， 该 技术 是 将 通信 电费 密封 在 
塑料 套 里 深 埋 于 地 下 ， 并 在 线路 的 两 端 加 压 。 线 路 上 连接 了 带 有 报警 器 的 显示 器 用 来 测量 
压力 ， 如 果 压 力 下 降 ， 则 意味 着 电缆 被 破坏 ， 维 修 人 员 将 被 派出 去 维修 出 现 问题 的 电缆 。 
另 一 种 电缆 加 压 技 术 不 是 将 电费 埋 于 地 下 ， 而 是 架空 ， 每 十 电费 都 暴露 在 外 。 如 果 有 人 要 
割 电费， 监视 器 就 会 启动 报警 器 ， 通 知 安全 保卫 人 员 ; 如 果 有 人 在 电缆 上 接 了 自己 的 通信 
设备 ， 安 全 人 员 在 定期 检查 电缆 时 ， 就 会 发 现 电缆 的 拼接 处 。 加 压 电缆 屏蔽 在 波纹 铝 钢 包 
皮 中 ， 因 此 也 几乎 没有 电磁 辐射 ， 如 果 用 电磁 感应 窃 密 ， 要 使 用 大 量 设备 ， 因 此 很 容易 被 
发 现 。 

光缆 曾 被 认为 是 不 可 搭 线 窃听 的 ， 因 其 断裂 或 破坏 处 会 立即 被 检测 到 ， 拼 接 处 的 传输 
速率 是 很 慢 的 ， 光纤 没 有 电磁 辐射 ， 所 以 也 不 可 能 有 电磁 感应 窃 密 。 但 遗憾 的 是 光纤 有 长 
度 限制 ， 超 过 最 大 长 度 时 要 定期 地 放大 信号 ， 就 要 将 信号 转变 为 电 脉冲 ， 放 大 后 再 恢复 为 
光 脉 冲 继续 通过 另 一 条 线路 传输 。 完 成 这 一 操作 的 设备 〈 复 制 器 ) 是 光纤 通信 系统 安全 的 
薄弱 环节 ， 因 为 信号 极 可 能 在 这 一 环节 被 窃听 。 

2. TCPI/IP 服务 的 脆弱 性 


基于 TCP/IP 协议 的 服务 很 多 ， 常 用 的 有 Web 服务 、FTP 服务 、 电 子 邮件 服务 等 ， 人 
们 不 太 熟悉 的 有 TFTP 服务 、NFS 服务 、Finger 服务 等 。 这 些 服务 都 在 不 同 程度 上 存在 安 
全 缺陷 。 

(1) 电子 邮件 程序 存在 漏洞 : 电子 邮件 附着 的 文件 中 可 能 带 有 病毒 , 邮箱 经 常 被 塞 满 ， 
电子 邮件 炸弹 令 人 烦恼 ， 还 有 邮件 溢出 等 。 

(2) 简单 文件 传输 协议 TFTP 服务 用 于 局 域 网 ， 它 没有 任何 安全 认证 ， 安 全 性 极 差 ， 
常 被 人 用 来 窃取 密码 文件 。 

(3) 匿名 FTP 服务 存在 一 定 的 安全 隐患 : 有 些 匿名 FTP 站 点 为 用 户 提供 了 一 些 可 写 
的 区 域 ， 用 户 可 以 上 传 一 些 信息 到 站 点 上 ， 因 此 可 能 会 浪费 用 户 的 磁盘 空间 、 网 络 带宽 等 
资源 ， 还 可 能 造成 “拒绝 服务 ”攻击 。 

(4) Finger 服务 可 查询 用 户 信息 ， 包 括 网 上 成 员 姓 名 、 用 户 名 、 最 近 的 登录 时 间 、 地 
点 和 当前 登录 的 所 有 用 户 名 等 ， 这 也 为 入 侵 者 提供 了 必要 的 信息 和 方便 。 


2.7.2 通信 加 密 


网 络 中 的 数据 加 密 可 分 为 两 个 途径 ， 一 种 是 通过 硬件 实现 数据 加 密 ， 一 种 是 通过 软件 
实现 数据 加 密 。 通 过 硬件 实现 网 络 数据 加 密 有 3 种 方式 : 链 路 加 密 、 节 点 加 密 和 端 一 端 加 
密 ; 软件 数据 加 密 就 是 指使 用 前 述 的 加 密 算 法 进行 加 密 。 

计算 机 网 络 中 的 加 密 可 以 在 不 同 层次 上 进行 ， 最 常见 的 是 在 应 用 层 、 链 路 层 和 网 络 层 
进行 加 密 。 应 用 层 加 密 需 要 所 使 用 的 应 用 程序 支持 ， 包 括 客 户 机 和 服务 器 的 支持 ， 这 是 一 
种 高 级 的 加 密 ， 在 某 些 具体 应 用 中 非常 有 效 ， 但 它 不 能 保护 网 络 链 路 。 数 据 链 路 层 加 密 应 
用 于 单一 网 络 链 路 ， 仅 仅 在 某 条 链 路 上 保护 数据 ， 而 当 数 据 通 过 其 他 未 被 保护 的 链 路 时 则 
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不 被 保护 ;这 是 一 种 低级 的 保护 ， 不 能 被 广泛 应 用 。 网 络 层 加 密 介 于 应 用 层 加 密 和 数据 链 
路 层 加 密 之 间 ， 加 密 在 发 送 端 进行 ， 通 过 不 可 信 的 中 间 网 络 ， 到 接收 端 进行 解密 。 
1. 硬件 加 密 和 软件 加 密 


(1) 硬件 加 密 

所 有 加 密 产品 都 有 特定 的 硬件 形式 。 这 些 加 密 / 解 密 硬件 被 嵌入 到 通信 线路 中 ,然后 对 
所 有 通过 的 数据 进行 加 密 。 虽 然 软 件 加 密 在 今天 正 变 得 很 流行 ， 但 硬件 加 密 仍 是 商业 和 军 
事 等 领域 应 用 的 主要 选择 。 选 用 硬件 加 密 的 原因 有 以 下 几 种 。 

@ 快速 

加 密 算 法 中 含有 许多 复杂 运算 ， 如 果 用 软件 实现 这 些 复杂 运算 ， 则 运算 速度 将 受到 很 
大 影响 ， 而 特殊 的 硬件 将 具有 速度 优势 。 另 外 ， 加 密 常常 是 高 强度 的 计算 任务 ， 加 密 硬件 
芯片 可 较 好 地 完成 这 样 的 任务 并 有 较 快 的 速度 。 

@ 安全 

硬件 加 密 可 以 使 用 各 种 跟踪 工具 对 运行 在 未 加 保护 的 计算 机 上 的 加 密 算法 进行 跟踪 或 
修改 而 不 被 发 现 ， 使 用 硬件 加 密 设备 可 将 加 密 算 法 封装 保护 ， 以 防 被 修改 。 例 如 ， 针 对 特 
殊 目的 VISL 芯片 ， 可 以 覆盖 一 层 化 学 物质 ， 使 得 任何 企图 对 其 内 部 进行 的 访问 都 将 导致 
芯片 逻辑 的 破坏 。 

@ 易于 安装 

大 多 数 加 密 功 能 与 计算 机 无 关 , 将 专用 加 密 硬件 放 在 电话 、 传真 机 或 Modem 中 比 设置 
在 微 处 理 器 中 更 方便 。 安 装 一 个 加 密 设 备 比 修改 配置 计算 机 系统 软件 更 容易 。 加 密 应 该 是 
不 可 见 的 ， 它 不 应 该 妨碍 用 户 。 而 软件 要 做 到 这 样 ， 唯 一 的 办 法 就 是 将 加 密 程序 写 在 操作 
系统 软件 深 处 。 

(2) 软件 加 密 

任何 加 密 算法 都 可 用 软件 实现 。 软件 实现 的 不 利之 处 就 是 速度 慢 、 开 销 大 和 易于 改动 ， 
有 利之 处 是 灵活 性 大 和 可 移植 性 强 ， 易 使 用 、 易 升级 。 

软件 加 密 程序 很 大 众 化 ， 并 可 用 于 大 多 数 操作 系统 。 这 些 加 密 程序 可 用 于 保护 个 人 文 
件 ， 用 户 通常 用 手工 加 密 / 解 密 文件 。 软件 加 密 的 密 钥 管 理 很 重要 ， 密 钥 不 应 该 存储 在 磁盘 
中 ， 密 钥 和 未 加 密 文 件 在 加 密 后 应 删除 。 

2. 通信 加 密 方式 


(1) 链 路 加 密 

链 路 加 密 (Link Encryption) 是 指 传输 数据 仅 在 数据 链 路 层 上 进行 加 密 。 链 路 加 密 是 为 
保护 两 相 邻 节点 之 间 链 路 上 传输 的 数据 而 设立 的 。 只 要 把 两 个 密码 设备 安装 在 两 个 节点 间 
的 线路 上 ， 并 装 有 同样 的 密 钥 即 可 。 被 加 密 的 链 路 可 以 是 微波 、 卫 星 和 有 线 介质 。 

在 链 路 上 传输 的 信息 〈 包 括 信息 正文 、 路 由 及 检验 码 等 控制 信息 ) 是 密 文 ， 而 链 路 间 
节点 上 必须 是 明文 。 因 为 在 各 节点 上 都 要 进行 路 径 选 择 ， 而 路 由 信息 必须 是 明文 ， 否 则 就 
无 法 进行 选择 了 。 这 样 ， 信 息 在 中 间 节 点 上 要 先进 行 解密 ， 以 获得 路 由 信息 和 检验 码 、 进 
行路 由 选择 和 差错 检测 ， 然 后 再 被 加 密 ， 送 至 下 一 链 路 ， 如 图 2-17 所 示 。 
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图 2-17 链 路 加 密 
使 用 链 路 加 密 装 置 能 为 某 链 路 上 的 所 有 报 文 提供 保密 传输 服务 ， 即 经 过 一 台 节 点 机 的 


所 有 网 络 信息 传输 均 需 加 、 解 密 ， 每 一 个 经 过 的 节点 都 必须 有 密码 装置 ， 以 便 解 密 、 加 密 
报 文 。 如 果 报 文 仅 在 一 部 分 链 路 上 加 密 而 在 另 一 部 分 链 路 上 不 加 密 ， 则 相当 于 都 未 加 密 
仍然 是 不 安全 的 。 

数据 在 到 达 目 的 地 之 前 ， 可 能 要 经 过 许多 通信 链 路 的 传输 ， 因 此 在 链 路 加 密 中 的 信息 
在 每 台 节点 机 内 都 要 被 解密 和 再 加 密 ， 依 次 进行 ， 直 至 到 达 目 的 地 。 同 一 节点 上 的 解密 和 
加 密 密 钥 是 不 同 的 ， 而 同一 条 链 路 两 端的 加 密 和 解密 是 相关 的 。 

链 路 加 密 时 由 于 报头 和 正文 在 链 路 上 均 被 加 密 ， 被 传输 信息 的 源 点 与 终点 得 以 掩盖 ， 
从 而 可 屏蔽 掉 报 文 的 频率 、 长 度 等 特征 ， 这 样 攻击 者 就 得 不 到 这 些 特征 值 。 因 此 ， 链 路 加 
密 可 防止 报 文 流 量 分 析 的 攻击 。 

(2) 节点 加 密 

为 了 解决 数据 在 节点 中 是 明文 的 缺点 ， 出 现 了 一 种 新 的 加 密 方式 一 一 节点 加 密 (Node 
Encryption)。 节 点 加 密 在 中 间 节 点 装 有 加 密 /解密 保护 装置 ， 由 该 装置 完成 一 个 密 钥 向 男 一 
个 密 钥 的 变换 。 因 而 ， 该 方式 使 得 在 节点 内 也 不 会 出 现 明文 。 

但 节点 加 密 方式 与 链 路 加 密 方式 一 样 ， 都 存在 一 个 共同 缺点 ， 即 需要 公共 网 络 提 供 商 
的 配合 ， 修 改 其 交换 节点 ， 增 加 安全 单元 或 保密 装置 。 

链 路 加 密 仅 在 通信 链 路 上 提供 安全 性 ， 信 息 在 节点 上 以 明文 形式 存在 ， 因 此 所 有 节点 
在 物理 上 必须 是 安全 的 ， 和 否则 就 会 泄漏 明文 内 容 。 然 而 保证 每 一 个 节点 的 安全 性 需要 较 高 
的 费用 。 为 每 一 个 节点 提供 加 密 硬 件 设 备 和 一 个 安全 的 物理 环境 所 需要 的 费用 由 以 下 几 部 
分 组 成 :保护 节点 物理 安全 的 雇员 开销 ， 为 确保 安全 策略 和 程序 的 正确 执行 而 进行 审计 时 
的 费用 ， 以 及 为 防止 安全 性 被 破坏 时 带 来 损失 而 参加 保险 的 费用 等 。 

节点 加 密 要 求 报头 和 路 由 信息 以 明文 形式 传输 ， 以 便 中 间 节 点 能 用 来 处 理 信 息 ， 因 此 
这 种 方法 对 于 防止 攻击 者 进行 信息 流量 分 析 是 脆弱 的 。 

(3) 端 - 端 加 密 

端 - 端 加 密 〈End to End Encryption) 是 传输 数据 在 应 用 层 上 完成 加 密 的 加 密 方式 。 端 - 
端 加 密 可 对 两 个 用 户 之 间 传 输 的 数据 提供 连续 的 安全 保护 。 数 据 在 初始 节点 上 被 加 密 ， 直 
到 目的 节点 时 才 被 解密 ， 在 中 间 节 点 和 链 路 上 数据 均 以 密 文 形式 传输 。 这 样 信息 在 整个 传 
输 过 程 中 均 受 到 保护 ， 即 使 有 节点 被 损坏 也 不 会 使 信息 泄露 。 

端 - 端 加 密 时 ,只 有 在 发 送 端 和 接收 端 才 有 加 密 和 解密 设备 ,中 间 各 节点 不 需要 有 密码 
设备 。 因 此 ， 同 链 路 加 密 相 比 ， 可 减少 很 多 密码 设备 。 另 一 方面 ， 由 于 信息 由 报头 和 报 文 
组 成 ， 报 文 为 传输 的 信息 ， 报 头 为 路 由 等 控制 信息 ， 在 网 络 中 传输 时 要 涉及 到 路 由 选择 。 
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链 路 加 密 时 ， 报 文 和 报头 两 者 都 被 加 密 ， 而 在 端 - 端 加 密 时 ， 各 中 间 节 点 虽 不 进行 解密 ， 但 
必须 检查 报头 信息 ， 所 以 路 径 选 择 等 控制 信息 不 能 被 加 密 ， 必 须 是 明文 。 即 端 - 端 加 密 只 能 
对 信息 的 正文 〈 报 文 ) 进行 加 密 ， 而 不 能 对 报头 加 密 ， 如 图 2-18 所 示 。 


节点 1 节点 2 节点 3 节点 n 


» Pp 
C 也 € 
二 
Li L» Ln 


图 2-18 端 - 端 加 密 

端 - 端 加 密 系统 的 价格 便宜 些 ， 并 且 与 链 路 加 密 和 节点 加 密 相 比 更 可 靠 ， 更 容易 设计 、 
实现 和 维护 。 端 - 端 加 密 还 避免 了 其 他 加 密 系统 所 固有 的 同步 问题 ， 因 为 每 个 报 文 包 均 是 独 
立 被 加 密 的 ， 所 以 一 个 报 文 包 所 发 生 的 传输 错误 不 会 影响 后 续 的 报 文 包 。 此 外 ， 从 用 户 对 
安全 需求 的 直觉 上 讲 ， 端 - 端 加 密 更 自然 些 。 单 个 用 户 可 能 会 选用 这 种 加 密 方法 ， 以 便 不 影 
响 网 络 上 的 其 他 用 户 。 

端 - 端 加 密 系统 通常 不 允许 对 信息 的 目的 地 址 进行 加 密 , 这 是 因为 每 一 个 信息 所 经 过 的 
节点 都 要 用 此 地 址 来 确定 如 何 传输 信息 。 由 于 这 种 加 密 方法 不 能 掩盖 被 传输 信息 的 源 点 与 
终点 ， 因 此 它 对 于 防止 信息 流量 分 析 攻 击 也 是 脆弱 的 。 

(4) 通信 加 密 方式 的 比较 和 选择 

常用 的 通信 加 密 方式 是 链 路 加 密 和 端 - 端 加 密 。 链 路 加 密 是 对 一 条 链 路 的 通信 采取 的 保 
护 措施 ， 而 端 - 端 加 密 则 是 对 整个 网 络 的 通信 系统 采取 的 保护 措施 。 

@ 链 路 加 密 的 特点 : 加 密 方式 比较 简单 , 实现 也 较 容易 ; 可 防止 报 文 流量 分 析 的 攻击 ; 
一 个 链 路 被 攻破 ， 不 影响 其 他 链 路 上 的 信息 ， 一 个 中 间 节 点 被 攻破 时 ， 通 过 该 节点 的 所 有 
信息 将 被 泄露 ， 加 密 和 维护 费用 大 ， 用 户 费 用 很 难 合理 分 配 ， 链 路 加 密 只 能 认证 节点 ， 而 
不 面向 用 户 ， 因 此 链 路 加 密 不 能 提供 用 户 鉴 别 。 

@ 端 - 端 加 密 的 特点 : 可 提供 灵活 的 保密 手段 ， 例 如 主机 到 主机 、 主 机 到 终端 、 主 机 
到 进程 的 保护 ;加 密 费 用 低 ， 并 能 准确 分 配 ; 加 密 在 网 络 应 用 层 实现 ， 可 提高 网 络 加 密 功 
能 的 灵活 性 ， 加 密 可 使 用 软件 实现 ， 使 用 起 来 很 方便 ;不 能 防止 信息 流量 分 析 攻击 ;整个 
通信 过 程 中 各 分 支 相 互 关联 , 任何 局 部 遭 到 破坏 时 将 影响 整个 通信 过 程 ; 端 - 端 加 密 对 用 户 
是 可 见 的 ， 可 以 看 到 加 密 后 的 结果 ， 起 点 、 终 点 很 明确 ， 可 以 进行 用 户 认 证 。 

@ 加 密 方式 的 选择 : 从 以 上 两 种 加 密 方式 可 知 ， 链 路 加 密 对 用 户 系 统 比 较 容易 ， 使 用 
的 密 钥 较 少 ， 而 端 - 端 加 密 比 较 灵 活 。 因 此 ,用户 在 选择 通信 方式 时 可 作 如 下 考虑 : 在 需要 
保护 的 链 路 数 少 ， 且 要 求实 时 通信 ， 不 支持 端 - 端 加 密 的 远程 调用 等 通信 场合 ， 宜 采用 端 - 
端 加 密 方式 ; 在 多 个 网 络 互联 的 环境 中 ， 宣 采用 端 - 端 加 密 方式 ; 在 需要 抵御 信息 系统 流量 
分 析 场 合 ， 可 采用 链 路 加 密 和 端 - 端 加 密 相 结合 的 加 密 方式 。 

总 而 言 之 , 与 链 路 加 密 方式 相 比 , 端 - 端 加 密 具 有 成 本 低 、 保密 性 强 、 灵 活性 好 等 优点 ， 
因此 应 用 更 为 广泛 。 
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2.8 加 密 软件 PGP 


目前 电子 邮件 和 在 网 络 上 输入 文件 已 经 成 为 人 们 工作 、 生 活 中 不 可 缺少 的 一 部 分 ， 在 
我 们 尽情 享受 其 带 来 的 大 便利 的 同时 ， 安 全 问题 也 变 得 日 益 突 出 。 如 果 不 注意 保护 自己 的 
信息 ， 随 意 地 将 未 经 加 密 的 数据 在 Intemet 上 传输 ， 很 容易 被 第 三 者 截获 ， 造 成 隐私 泄露 。 
这 便 涉 及 到 加 密 问题 。 此 外 ， 还 衍生 出 相关 信息 的 认证 问题 ， 如 让 收 信人 确认 邮件 没有 被 
第 三 者 算 改 ， 就 需要 使 用 数字 签名 技术 。 在 此 情形 下 ，PGP 应 运 而 生 。 


2.8.1 PGP 概述 


PGP (Pretty Good Privacy) 是 一 个 广泛 应 用 于 电子 邮件 和 文件 加 密 的 软件 ， 一 经 推出 ， 
备 受 青睐 ， 已 成 为 电子 邮件 加 密 的 事实 标准 。 

PGP 把 RSA 公 钥 体系 的 密 钥 管理 方便 和 传统 加 密 体系 的 高 速度 结合 起 来 , 并 且 在 数字 
签名 和 密 钥 认 证 管理 机 制 上 有 着 巧妙 的 设计 。 虽 然 PGP 主要 是 基于 公 钥 加 密 体系 的 ， 但 它 
不 是 一 种 完全 的 公 钥 加 密 体 系 , 而 是 一 种 混合 加 密 算法 。 它 是 由 一 个 对 称 加 密 算法 (IDEA)、 
一 个 非 对称 加 密 算法 (RSA)、 一 个 单 向 散 列 算法 (MD5) 以 及 一 个 随机 数 产 生 器 组 成 的 ， 
每 种 算法 都 是 PGP 不 可 分 割 的 组 成 部 分 。PGP 之 所 以 得 到 大 家 的 认可 ,最 主要 是 它 集 中 了 
儿 种 加 密 算法 的 优点 ， 使 它们 彼此 得 到 互补 。 

PGP 的 巧妙 之 处 在 于 它 汇集 了 各 种 加 密 方法 的 精华 。PGP 实现 了 目前 大 部 分 流行 的 加 
密 和 认证 算法 ， 如 DES、IDEA、RSA 及 MD5、SHA 等 算法 。 

PGP 软件 兼 有 加 密 和 签名 两 种 功能 。 它 不 但 可 以 对 用 户 的 邮件 进行 保密 ， 以 防止 非 授 
权 者 阅读 ， 还 能 对 邮件 进行 数字 签名 ， 使 收 信人 确信 邮件 未 被 第 三 者 算 改 过 。 在 PGP 中 ， 
主要 使 用 IDEA 算法 对 数据 进行 加 密 ( 因 为 它 速度 快 ， 安 全 性 好 ); 使 用 RSA 算法 对 IDEA 
的 密 钥 进行 加 密 (因为 RSA 公 钥 算法 的 密 钥 管 理 方便 )。 这 样 ， 两 类 体制 的 算法 结合 在 一 
起 实现 加 密 功 能 ， 突 出 了 各 自 的 优点 。PGP 还 使 用 MD5 作为 散 列 函数 ， 对 数据 的 完整 性 
进行 保护 ， 并 与 加 密 算 法 结合 ， 提 供 数字 签名 功能 。PGP 的 加 密 功 能 和 签名 功能 可 以 单独 
使 用 ， 也 可 以 同时 使 用 。 

PGP 还 可 以 只 签名 而 不 加 密 ， 这 适用 于 用 户 公开 发 布 信息 的 情况 。 用 户 为 了 证 实 自己 
的 身份 ， 在 发 送信 件 时 往往 用 自己 的 私 钥 签名 ， 这 样 就 可 以 让 收 信人 确认 发 信人 的 身份 ， 
也 可 以 防止 发 信人 进行 抵赖 ， 这 一 点 在 商业 领域 有 很 大 的 应 用 前 途 。 

PGP 给 邮件 加 密 和 签名 的 过 程 是 这 样 的 ， 首先 甲 用 自己 的 私 钥 将 由 MD5 算法 得 到 的 
128bit 的 “邮件 摘要 ”加 密 ( 即 签名 )， 附 加 在 邮件 后 ;再 用 乙 的 公 钥 将 整个 邮件 加 密 ( 注 
意 这 里 的 次 序 ， 如 果 先 加 密 再 签名 ， 别 人 可 以 将 签名 去 掉 后 签 上 自己 的 名 ， 从 而 算 改 了 签 
名 )。 乙 收 到 后 ， 用 自己 的 私 钥 将 邮件 解密 ， 得 到 甲 的 原文 和 签名 ; 然后 利用 MD5 算法 从 
原文 计算 出 一 个 128bit 的 特征 值 ， 再 将 其 与 用 甲 的 公 钥 解密 签名 所 得 到 的 数据 进行 比较 。 
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如 果 比 较 相 符 ， 则 说 明 这 份 邮件 确实 是 甲 寄 发 的 。 这 样 ， 保 密 性 和 认证 性 要 求 都 得 到 了 
满足 。 


2.8.2 PGP 提供 的 服务 


PGP 除 提供 数据 加 密 和 数字 签名 服务 外 ， 还 提供 数据 压缩 和 转换 服务 ， 这 些 服务 都 是 
与 信息 和 文件 格式 相关 的 。 


1. 数字 签名 


PGP 提供 的 数字 签名 服务 包括 Hash 编码 或 消息 摘要 的 使 用 、 签 名 算法 以 及 公 钥 加 密 算 
法 。 它 提供 了 对 发 送 方 的 身份 验证 ， 其 步骤 如 下 。 

(1) 发 送 方 生成 所 要 发 送 的 信息 。 

(2) 发 送 方 产生 消息 的 Hash 编码 。 

(3) 用 发 送 方 的 私 钥 加 密 Hash 编码 。 

(4) 将 加 密 后 的 Hash 编码 附 在 原始 消息 上 。 

(5) 接收 方 使 用 发 送 方 的 公 钥 对 加 密 的 Hash 编码 进行 解密 。 

(6) 接收 方 产生 所 接收 信息 的 Hash 编码 ， 并 与 解密 的 Hash 编码 进行 比较 ， 如 果 两 者 
相同 ， 则 认为 信息 是 可 信任 的 。 

一 般 情 况 下 ， 签 名 附着 于 被 签署 的 信息 或 文件 上 ， 但 PGP 也 支持 分 离 的 签名 。 分 离 签 
名 可 以 独立 于 它 所 签署 的 信息 而 被 存储 和 传输 ， 有 时 这 是 很 有 用 的 。 比 如 用 户 可 能 希望 为 
所 有 发 送 和 接收 的 信息 维护 一 个 单独 的 签名 日 志 ; 对 于 可 执行 文件 而 言 ， 分 离 签名 能 检测 
出 随后 的 病毒 感染 ， 当 多 个 实体 签署 诸如 合同 之 类 的 一 个 文档 时 ， 使 用 分 离 签名 更 有 其 方 
便 之 处 。 

2， 数据 加 密 


PGP 通过 使 用 对 称 加 密 算 法 IDEA 对 要 传送 的 信息 或 在 本 地 存储 的 文件 进行 加 密 。 在 
PGP 中 ， 对 于 每 个 要 加 密 的 消息 ， 都 会 产生 随机 的 128bit 新 密 钥 。 由 于 每 个 密 钥 仅 使 用 一 
次 ， 所 以 可 将 会 话 密 钥 和 消息 绑 定 在 一 起 进行 传送 。 传 送 时 为 了 保护 会 话 密 钥 ， 青 使 用 接 
收 方 的 公 钥 将 其 加 密 。 数 据 加 密 服 务 的 步骤 如 下 : 

(1) 发 送 方 生成 所 要 发 送 的 消息 。 

(2) 发 送 方 产生 仅 适 用 于 该 信息 的 随机 数字 作为 会 话 密 钥 。 

(3) 发 送 方 使 用 会 话 密 钥 加 密 信息 。 

(4) 发 送 方 用 接收 方 的 公 钥 加 密会 话 密 钥 ， 并 附 在 加 密 信息 上 。 

(5) 接收 方 使 用 自己 的 私 钥 解密 出 会 话 密 钥 。 

(6) 接收 方 使 用 会 话 密 钥 解密 出 信息 。 

3. 数据 压缩 

默认 情况 下 ，PGP 在 数字 签名 和 加 密 服务 之 间 提 供 压 缩 服 务 ， 即 PGP 先 对 信息 进行 签 
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名 ， 然 后 再 进行 压缩 ， 最 后 再 对 压缩 的 信息 进行 加 密 。 

PGP 在 加 密 数 据 前 先 对 其 进行 预 压缩 处 理 (PGP 内 核 使 用 PKZIP 算法 来 压缩 加 密 前 的 
明文 )， 好 处 有 两 点 。 一 方面 对 电子 邮件 而 言 ,加 密 经 过 压缩 的 信息 所 得 到 的 密 文 有 可 能 比 
明文 更 短 ， 这 就 节省 了 网 络 传输 的 时 间 ; 另 一 方面 ， 明 文 经 过 压缩 ， 实 际 上 相当 于 经 过 一 
次 变换 ， 信 息 更 加 杂乱 无 章 ， 对 明文 攻击 的 抵御 能 力 更 强 。PKZIP 算法 是 一 个 公认 的 压缩 
率 和 压缩 速度 都 相当 好 的 压缩 算法 。PGP 中 使 用 PKZIP 算法 是 经 过 原作 者 同意 的 。 

4. 格式 转换 


使 用 PGP 时 ， 传 送 的 消息 块 通常 是 部 分 加 密 的 。 如 果 只 使 用 数字 签名 服务 ， 则 消息 摘 
要 是 加 密 的 ， 如 果 使 用 了 数据 加 密 服务 ， 则 消息 和 签名 都 是 加 密 的 。 这 样 ， 部 分 或 全 部 的 
结果 将 由 任意 的 8 位 字 节 流 组 成 ， 而 很 多 电子 邮件 只 允许 使 用 纯 ASCIH 文本 。 为 了 适应 这 
种 限制 ，PGP 提供 了 将 原始 的 8 位 数据 流转 换 为 ASCII 字符 串 的 服务 。 


2.8.3 PGP 密 角 的 分 发 和 保护 


1. 公 钥 的 分 发 

对 PGP 来 说 ， 公 钥 本 来 就 是 公开 的 ， 不 存在 防 偷盗 问题 ， 但 公 钥 在 发 布 中 仍然 存在 安 
全 性 问题 ， 其 中 最 大 的 漏洞 是 公 钥 被 算 改 和 冒充 ， 因 为 大 多 数 新 手 不 能 很 快 发 现 这 一 点 。 
PGP 对 该 问题 的 解决 方案 是 采用 CA 权威 机 构 》 认 证 ， 明 确 每 个 由 其 签字 的 公 钥 都 被 视 
为 是 真实 的 。 这 样 的 CA 适合 于 非 个 人 控制 组 织 或 政府 机 构 。 

现在 以 你 和 Alice 的 通信 为 例 来 理解 PGP 的 公 钥 分 发 安全 和 认证 问题 。 假 设 你 想 给 
Alice 发 封 信 ， 那 你 必须 有 Alice 的 公 钥 。 你 从 BBS 上 下 载 了 Alice 的 公 钥 ， 并 用 它 加 密 了 
信件 ， 再 用 BBS 的 E-mail 功能 将 信 发 给 了 Alice。 但 不 幸 的 是 ， 你 和 Alice 都 不 知道 有 一 
个 名 为 Charlie 的 用 户 潜入 了 BBS, 并 将 其 以 Alice 名 义 生成 的 密 钥 对 中 的 公 钥 替换 了 Alice 
的 公 钥 。 那 么 此 时 你 用 来 发 信 的 公 钥 就 不 是 Alice 的 而 是 Charlie 的 ， 但 一 切 看 起 来 都 很 正 
常 ， 因 为 你 拿 到 的 公 钥 的 用 户 名 是 “Alice”。 于 是 Charlie 就 可 以 用 他 手中 的 私 钥 来 解密 你 
给 Alice 的 信 ， 甚 至 他 还 可 以 用 Alice 真正 的 公 钥 来 转发 你 给 Alice 的 信 ， 这 样 谁 都 不 会 起 
疑心 。 他 如 果 想 改动 你 给 Alice 的 信也 很 容易 实现 。 更 有 甚 者 ， 他 还 可 以 伪造 Alice 的 签名 
给 你 或 其 他 人 发 信 ， 因 为 你 们 手中 的 公 钥 是 伪造 的 ， 你 们 会 以 为 真是 Alice 的 来 信 。 

防止 这 种 情况 出 现 的 最 好 办 法 是 避免 让 其 他 任何 人 有 机 会 自 改 公 钥 , 比如 直接 从 Alice 
手中 得 到 她 的 公 钥 。 然 而 当 她 远 在 千里 之 外 或 由 于 其 他 原因 无 法 见面 时 ， 这 是 很 困难 的 。 
PGP 提出 了 一 种 公 钥 “ 转 介 ”机 制 来 解决 这 个 问题 。 比 如 ， 如 果 你 和 Alice 有 一 个 共同 的 
朋友 David， 而 David 知道 他 手中 Alice 的 公 钥 是 正确 的 ，David 就 可 以 用 他 自己 的 私 钥 在 
Alice 的 公 钥 上 签名 ， 表 示 他 担保 这 个 公 钥 属于 Alice。 当 然 你 需要 用 David 的 公 钥 来 检验 
他 给 你 的 Alice 的 公 钥 ， 同 样 David 也 可 向 Alice 认证 你 的 公 钥 ， 这 样 David 就 成 为 你 
Alice 之 间 的 “介绍 人 ”。 Alice 或 David 就 可 放心 地 把 David 签 过 字 的 Alice 的 公 钥 上 载 到 
BBS 让 你 去 拿 ， 没 人 可 能 去 算 改 它 而 不 被 你 发 现 ， 即 使 是 BBS 的 管理 员 。 这 就 是 PGP 利 
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用 公共 渠道 传递 公 钥 的 安全 手段 。 

由 一 个 大 家 普遍 信任 的 组 织 或 机 构 担当 “ 密 钥 使 者 ”或 “认证 权威 ”每 个 由 它 签 字 的 
公 角 都 被 认为 是 真实 的 ， 这 样 大 家 只 要 有 一 份 该 公 钥 就 行 了 。 认 证 它 的 公 钥 也 很 方便 ， 因 
为 它 广 泛 提供 这 种 服务 ， 其 公 钥 流传 广泛 ， 因 此 假冒 相当 困难 。 这 样 的 “权威 ”适合 由 非 
个 人 控制 组 织 或 政府 机 构 充当 ， 现 在 已 经 有 等 级 认证 制度 的 机 构 存 在 。 

PGP 的 这 种 密 铜 “ 转 介 ” 方式 ， 更 能 反映 出 人 们 自然 的 社会 交往 ， 且 人 们 也 能 自由 地 
选择 信任 的 人 来 介绍 。 这 种 方式 是 使 用 以 个 人 为 中 心 的 信任 模型 ， 采 用 一 种 具有 传递 性 的 
“ 转 介 信任 ”方式 进行 密 钥 分 发 的 。 在 这 种 方式 下 ， 用 户 可 以 自行 决定 对 周围 的 联系 人 是 
香 信 任 及 信任 度 的 高 低 。 用 户 只 接收 信任 者 传送 来 的 公 钼 ， 并 且 这 些 公 钥 都 带 有 签名 。 

2， 私 钥 的 管理 


私 钥 相对 于 公 钥 而 言 不 存在 被 算 改 的 问题 ， 但 却 存 在 泄露 的 问题 。 对 此 ，PGP 的 办 法 
是 让 用 户 为 随机 生成 的 RSA 私 钥 指 定 一 个 口令 , 只 有 通过 给 出 口令 才能 将 私 钥 释 放出 来 使 
用 。 用 口令 加 密 私 钥 的 加 密 程 序 与 PGP 本 身 是 一 样 的 。 所 以 ， 私 钥 的 安全 性 问题 实际 上 是 
对 用 户口 令 的 保密 。 当 然 ， 私 钥 文 件 本 身 的 失 密 也 是 很 危险 的 ， 因 为 破译 者 只 要 试探 出 用 
户 的 口令 ， 即 可 破译 密 钥 。 

PGP 在 安全 性 问题 上 的 精心 考虑 体现 在 其 各 个 环节 ， 比 如 每 次 加 密 的 实际 密 钥 是 个 随 
机 数 ，PGP 程序 对 随机 数 的 产生 是 很 审慎 的 ， 关 键 随机 数 的 产生 是 从 用 户 看 键盘 的 时 间 间 
隔 中 取得 随机 数 种 子 的 ; 采用 与 邮件 加 密 同 样 的 强度 对 用 户 磁盘 上 的 randseed.bin 文件 进行 
加 密 ， 可 有 效 地 防止 他 人 从 用 户 的 randseed.bin 文件 中 分 析出 实际 加 密 密 钥 的 规律 来 。 


小 ” 结 


密码 学 是 一 门 古老 而 深奥 的 学 科 ， 它 以 识别 密码 为 本 质 ， 以 加 密 和 解密 基本 规律 为 研 
究 对 象 。 密 码 学 包括 密码 编码 学 和 密码 分 析 学 。 

密码 学 的 基本 术语 有 : 消息、 明文、 加密、 密 文 、 解 密 、 加 密 算 法 、 解 密 算法 、 密 钥 、 
密码 体制 。 

消息 是 指 用 语言 、 文 字 、 数 字 、 符 号 、 图 像 、 声 音 或 它们 的 组 合 等 方式 记载 或 传递 有 
意义 的 内 容 。 在 密码 学 里 ， 消 息 也 称 为 信息 。 

明文 是 指 未 经 过 任何 伪装 或 隐藏 技术 处 理 的 消息 。 

加 密 是 指 利 用 某 些 方法 或 技术 对 明文 进行 伪装 或 隐藏 的 过 程 。 

密 文 是 指 被 加 密 的 消息 。 

解密 是 指 将 密 文 恢复 成 原 明文 的 过 程 或 操作 。 

加 密 算法 是 指 将 明文 消息 加 密 成 密 文 所 采用 的 一 组 规则 或 数字 函数 。 

解密 算法 是 指 将 密 文 消息 解密 成 明文 所 采用 的 一 组 规则 或 数学 函数 。 

密 钥 是 指 进 行 加 密 或 解密 操作 所 需要 的 秘密 参数 或 关键 信息 。 

密码 可 分 为 手工 密码 、 机 械 密码 、 电 子 机 内 乱 密码 和 计算 机 密码 、 替 代 密码 和 移 位 密 


SS 计算 机 网 络 安全 技术 与 应 用 


码 、 保 密 密 码 和 不 保密 密码 、 分 组 密码 和 序列 密码 、 对 称 密 钥 密码 和 非 对称 密 钥 密码 。 

DES 是 由 IBM 公司 开发 的 数据 加 密 标准 ,是 第 一 个 向 公众 公开 的 加 密 算法 , 也 是 应 用 
最 广泛 的 一 种 商用 数据 加 密 方案 。DES 的 算法 由 64bit 的 明文 初始 量 置换 一、 乘积 变换 、 
道 初始 变换 IPn 和 64bit 的 密 文 构成 。 

DES 算法 的 特点 是 : 具有 算法 容易 实现 、 速 度 快 、 通 用 性 强 等 优点 ; 但 也 有 密 钥 位 数 
少 、 保 密 强 度 较 差 和 密 钥 管 理 复杂 、 不 便于 数字 签名 等 缺点 。 

DES 主要 应 用 有 : 计算 机 网 络 通信 、 电 子 资金 传递 系统 、 保 护 用 户 文件 和 用 户 识别 。 

对 称 密 钥 密码 体制 在 加 密 、 解 密 时 使 用 同样 的 密 钥 ， 这 些 密 钥 由 发 送 者 和 接收 者 分 别 
保存 。 与 对 称 密 钥 密码 体制 不 同 ， 公 开 密 钥 密码 系统 采用 两 个 不 同 的 密 钥 进行 加 密 和 解密 ， 
也 称 “ 非 对 称 式 加 密 算法 ”。 

最 著名 的 公开 密 钥 密 码 算 法 RSA 的 优点 在 于 原理 简单 、 易 于 使 用 、 便 于 数字 签名 、 可 
靠 性 较 高 ， 但 也 有 算法 复杂 、 加 密 和 解密 速度 慢 、 难 于 用 硬件 实现 等 缺点 。 

将 密 文 附 在 原文 后 ， 称 为 数字 签名 。 

密 钥 管理 包括 密 钥 的 产生 、 密 钥 的 存储 和 保护 、 密 钥 的 更 新 、 密 钥 的 分 发 、 密 钥 的 验 
证 、 密 钥 的 使 用 、 密 钥 的 销毁 等 ， 其 中 最 主要 的 是 密 钥 的 产生 、 保 护 和 分 发 。 

选用 硬件 加 密 的 原因 有 : 快速 、 安 全 和 易于 安装 。 

通信 加 密 方式 有 : 链 路 加 密 、 节 点 加 密 和 端 - 端 加 密 。 

链 路 加 密 指 传输 数据 仅 在 数据 链 路 层 上 进行 加 密 ; 节点 加 密 是 为 解决 数据 在 节点 中 
是 明文 的 缺点 而 出 现 的 一 种 加 密 方式 ， 端 - 端 加 密 是 传输 数据 在 应 用 层 上 完成 加 密 的 加 密 
为 式 : 

PGP 是 一 种 广泛 应 用 于 电子 邮件 的 加 密 标 准 ， 可 以 提供 数字 签名 、 数 据 加 密 、 数 据 压 
缩 和 格式 转换 等 功能 。 

PGP 提供 的 数字 签名 服务 包括 Hash 编码 或 消息 摘要 的 使 用 。 

PGP 的 数据 加 密 通 过 使 用 对 称 加 密 算 法 IDEA 对 要 传送 的 信息 或 在 本 地 存储 的 文件 进 
行 加 密 。 

PGP 在 数字 签名 和 加 密 服 务 之 间 提 供 压缩 服务 ， 即 PGP 先 对 信息 进行 签名 ， 然 后 再 进 
行 压 缩 ， 最 后 对 压缩 的 信息 进行 加 密 。 

很 多 电子 邮件 只 允许 使 用 纯 ASCII 文本 ， 为 了 适应 这 种 限制 ，PGP 提供 了 将 原始 的 8 
位 数据 流转 换 为 ASCII 字符 串 的 服务 。 


练习 与 思考 


1. 简 述 密码 学 两 个 方面 的 内 涵 。 

2. 试 解释 密码 学 的 术语 : 消息 、 明 文 、 加 密 、 密 文 、 加 密 算 法 、 解 密 、 解 密 算法 、 密 
钥 、 密 码 体制 。 

3. 什么 是 替代 密码 和 移 位 密码 ?举例 说 明 。 
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试 解释 保密 密码 和 不 保密 密码 的 内 涵 。 
什么 是 分 组 密码 和 序列 密码 ? 

什么 是 一 次 一 密 钥 密码 ? 举例 说 明 。 

简 述 数据 加 密 标准 DES 的 特点 及 应 用 。 
简 述 RSA 算法 的 特点 及 应 用 。 

对 称 密码 系统 的 安全 性 依赖 于 哪 两 个 因素 ? 


. 数字 签名 为 何 能 有 与 手写 签名 一 样 的 作用 ? 

.TCP/IP 服务 存在 哪些 安全 缺陷 ? 

. 为 什么 通信 加 密 的 硬件 加 密 很 受 商业 和 军事 等 领域 青睐 ? 
. 简 述 链 路 加 密 和 端 - 端 加 密 的 特点 。 

. 简 述 PGP 软件 的 功能 。 

.PGP 软件 可 应 用 在 什么 场合 ? 

. PGP 软件 如 何 实 现 私 钥 的 管理 ? 


络 操 作 系 统 安全 


本 章 学 习 要 求 : 

(1) 掌握 访问 控制 的 概念 及 其 措施 。 

(2) 掌握 Windows NT 操作 系统 的 安全 技术 及 安全 管理 措施 。 
(3) 掌握 Windows NT 操作 系统 数据 的 安全 管理 

(4) 了 解 网 络 操作 系统 安全 的 概念 。 

(5) 了 解 访 问 控制 的 类 型 。 

(6) 了 解 UNIX/Linux 操作 系统 安全 。 


(1) 重点 : 


Windows NT 操作 系统 的 安全 技术 、 安 全 管理 措施 及 数据 的 安全 管理 


(2) 难点 : Windows NT 操作 系统 的 安全 技术 、UNIX/Linux 操作 系统 安全 。 


网 络 操作 系统 是 网 络 资源 的 协调 者 和 管理 者 ， 网 络 上 的 服务 器 软件 都 是 运行 在 网 络 操 
作 系 统 上 的 ， 所 以 网 络 操 作 系 统 是 整个 信息 系统 安全 的 基础 。 没 有 网 络 操作 系统 的 安全 ， 
就 没有 主机 和 网 络 资源 的 安全 。 本 章 主要 介绍 网 络 操作 系统 安全 的 基础 知识 , 并 对 Windows 
NT、UNIX 及 Linux 的 网 络 安全 管理 的 技术 、 安 全 措施 和 安全 配置 进行 介绍 。 


3.1 网 络 操作 系统 的 概念 


网 络 操作 系统 (Network Operation System，NOS) 是 向 网 络 计 算 机 提供 网 络 通信 和 网 
络 资源 共享 功能 的 操作 系统 ， 由 一 系列 负责 管理 整个 网 络 资源 和 方便 网 络 用户 使 用 的 软件 


组 成 ， 
源 ， 并 向 


是 整个 网 络 和 


4 灵魂。 网 络 设备 ， 例 如 路 由 器 、 交 换 机 的 主要 功能 是 把 整个 网 络 连接 


网 络 各 节点 之 间 可 以 互相 通信 ， 而 网 络 操作 系统 的 主要 功能 则 是 管理 网 络 中 的 资 


网 络 中 的 


户 提供 各 种 网 络 服务 。NOS 除了 有 具有 普通 操作 系统 所 具有 的 进程 控制 


与 调度 、 信 息 处 理 、 处 理 机 管理 、 存 储 器 管理 和 设备 管理 等 功能 外 ， 还 提供 了 高 效 而 可 靠 
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的 网 络 通信 环境 与 多 种 网 络 服务 ， 如 分 布 式 文件 共享 、 网 络 打印 服务 、 数 据 库 服务 、 域 名 
解析 服务 和 Web 服务 等 。 

网 络 操作 系统 支持 不 同 的 网 络 硬 件 环境 ; 支持 多 个 服务 器 ， 可 实现 服务 器 之 间 透 明 地 
进行 管理 信息 的 传递 ; 在 多 用 户 环境 下 ， 支 持 多 用 户 对 网 络 的 使 用 ; 桥接 能 在 同一 
个 网 络 操作 系统 下 ， 支 持 具 有 多 种 不 同 硬件 和 底层 通信 协议 的 网 络 协同 工作 ; 支持 系统 备 
份 、 安 全 性 管理 、 容 错 和 性 能 控制 ， 安 全 性 和 接 入 控制 : 通过 对 用 户 和 资源 的 控制 ， 来 保 
证 网 络 的 安全 性 ; 为 用 户 提供 与 网 络 的 交互 接口 。 

目前 ， 常 用 的 网 络 操作 系统 有 Windows Server、UNIX、Linux、NetWare。 

1. Windows Server 


微软 公司 的 Windows 系统 不 仅 在 个 人 操作 系统 方面 占有 绝对 优势 ， 在 网 络 操作 系统 中 
也 具有 非常 高 的 市 场 占 有 率 。 常 见 的 Windows 网 络 操作 系统 有 Windows Server 2008、 
Windows Server 2003、Windows 2000 Server 及 Windows 2000 Advance Server。 如 果 说 
Windows 2000 Server 全 面 继承 了 NT 技术 ， 那 么 Windows Server 2003 则 是 依据 .NET 架构 
对 NT 技术 作 了 重大 的 发 展 和 实质 性 改进 , 凝聚 了 微软 多 年 来 的 技术 积累 。Windows Server 
2003 在 各 行业 及 政府 机 构 中 已 经 得 到 了 广泛 的 应 用 ， 而 最 新 的 版 本 Windows Server 2008 
也 已 经 正式 发 布 。 

2. UNIX 


UNIX 是 一 个 强大 的 多 用 户 、 多 任务 操作 系统 ， 支 持 多 种 处 理 器 架构 ， 最 早 由 Ken 
Thompson、Dennis Ritchie 和 Douglas Mcilroy 于 1969 年 在 AT&T 的 贝尔 实验 室 开 发 。 这 种 
网 络 操作 系统 稳定 性 和 安全 性 非常 好 ， 但 由 于 其 操作 界面 没有 Windows 系统 那么 友好 ， 多 
数 的 操作 都 是 使 用 命令 行 的 方式 来 完成 ， 不 容易 掌握 ， 因 此 小 型 局 域 网 和 小 企业 中 基本 不 
使 用 UNIX 作为 网 络 操作 系统 , 而 一 般 用 于 大 型 的 网 站 或 大 型 的 企业 中 。 目前 常见 的 UNIX 
系统 有 : SUN 的 Solaris、IBM 的 AIX 和 惠普 的 HPUNIX 等 。 

3. Linux 


Linux 是 由 芬兰 赫尔辛基 大 学 的 学 生 Linus Torvalds 在 1992 年 首创 的 。Linux 是 一 套 免 
费 使 用 和 自由 传播 的 类 UNIX 操作 系统 。 我 们 通常 所 说 的 Linux， 指 的 是 GNU/Linux ， 即 
采用 Linux 内 核 的 GNU 操作 系统 。Linux 从 Internet 服务 器 到 用 户 的 桌面 ， 从 图 形 工 作 站 
到 PDA 的 各 种 领域 都 得 到 了 广泛 的 应 用 。 目 前 有 许多 的 Linux 发 行 版 可 供 人 们 选择 使 用 ， 
其 中 常见 的 中 文 Linux 发 行 版 本 有 RedHat (红帽子 )、 红 旗 Linux 和 TurboLinux 等 。 

4. NetWare 


NetWare 是 Novell 公司 推出 的 网 络 操作 系统 。NetWare 最 重要 的 特征 是 基于 基本 模块 
设计 思想 的 开放 式 系统 结构 。NetWare 是 一 个 开放 的 网 络 服务 器 平台 ， 可 以 方便 地 对 其 进 
行 扩充 。NetWare 曾 风行 全 球 ， 占 据 了 LAN 的 大 部 分 市 场 ， 但 在 Windows NT 操作 系统 出 
现 之 后 ，NetWare 的 大 部 分 市 场 已 被 Windows NT 抢占 。 到 目前 为 止 ， 仍 有 一 定数 量 的 用 
户 使 用 NetWare 操作 系统 。 
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网 络 操作 系统 在 网 络 应 用 中 发 挥 着 十 分 重要 的 作用 ， 因 此 网 络 操作 系统 本 身 的 安全 就 
成 为 了 网 络 安全 保护 中 的 重要 内 容 。 


3.2 ”操作 系统 的 安全 与 访问 控制 


操作 系统 负责 对 计算 机 系统 的 各 种 资源 、 操 作 、 运 算 和 计算 机 用 户 进行 管理 与 控制 ， 
它 是 计算 机 系统 安全 功能 的 执行 者 和 管理 者 ， 是 所 有 应 用 软件 的 运行 基础 。 没 有 操作 系统 
提供 的 多 种 安全 机 制 ， 数 据 库 、 网 络 和 其 他 应 用 软件 的 安全 问题 将 不 可 能 从 根本 上 解决 ， 
信息 安全 只 能 是 “ 沙 地 上 的 堡垒 ”。 
威胁 操作 系统 资源 安全 的 因素 除 设备 部 件 故 障 外 ， 还 有 以 下 几 种 。 
@ ”对 系统 的 不 合理 配置 或 用 户 的 误 操 作 ， 造 成 对 资源 违反 意愿 的 处 理 。 例 如 ， 无 意 
中 删除 文件 或 更 改 文件 的 访问 控制 权限 等 。 
@ ”恶意 用 户 非 法 获取 对 资源 访问 的 权限 。 例 如 ， 计 算 机 “黑客 ”窃取 其 他 用 户 的 秘 
密 或 不 想 共享 的 信息 。 窃 取 的 方法 有 多 种 ， 可 以 通过 破解 其 他 用 户 的 口令 来 获取 
该 用 户 的 资源 ， 或 者 通过 执行 暗藏 在 正常 程序 中 的 “特洛伊 木马 ”程序 秘密 窃取 
其 他 用 户 在 内 存 或 外 存 上 的 信息 。 
恶意 破坏 系统 资源 或 系统 的 正常 运行 。 例 如 ， 拒 绝 服务 攻击 和 计算 机 病毒 。 
多 用 户 操作 系统 还 需要 防止 各 用 户 程序 在 执行 过 程 中 相互 干扰 。 


3.2.1 操作 系统 安全 的 概念 


操作 系统 安全 是 指 该 系统 能 够 控制 外 部 对 系统 信息 的 访问 ， 即 只 有 经 过 授权 的 用 户 或 
进程 才能 对 信息 资源 进行 相应 的 读 、 写 、 创 建 和 删除 等 操作 ， 以 保护 合法 用 户 对 授权 资源 
的 正常 使 用 ， 防 止 非法 入 侵 者 对 系统 资源 的 侵占 和 破坏 。 

对 网 络 操作 系统 的 安全 保护 应 包含 以 下 几 个 方面 。 

e@ 对 操作 系统 本 身 的 安全 保护 功能 和 安全 服务 。 

。 针对 各 种 常用 的 操作 系统 ， 进 行 相应 配置 ， 使 之 能 正确 应 对 和 防御 各 种 入 侵 。 

e@ ”保证 网 络 操作 系统 本 身 所 提供 的 网 络 服务 能 得 到 安全 配置 。 

操作 系统 不 但 要 强调 安全 性 ， 还 要 强调 对 硬件 和 应 用 软件 有 良好 的 兼容 性 。 一 个 完全 
封闭 的 系统 ， 也 许 在 系统 安全 上 很 优秀 ， 但 是 只 能 运行 在 特定 的 硬件 环境 上 ， 只 能 运行 少 
数 应 用 程序 ， 甚 至 只 有 少数 的 用 户 才能 使 用 系统 的 资源 ， 那 么 这 种 系统 安全 的 通用 性 意义 
不 大 。 
操作 系统 安全 机 制 主要 包括 隔离 控制 和 访问 控制 。 隔 离 控制 主要 有 物理 设备 或 部 件 隔 
离 、 时 间隔 离 、 罗 辑 隔离 和 加 密 隔离 等 实现 方法 ， 而 访问 控制 是 操作 系统 中 最 有 效 、 最 直 
接 的 安全 措施 ， 是 操作 系统 安全 机 制 的 关键 。 
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3.2.2 ”访问 控制 的 概念 及 含义 


访问 控制 是 在 身份 认证 的 基础 上 ， 根 据 用 户 身份 对 提出 的 资源 访问 请 求 加 以 控制 ， 是 
针对 越权 使 用 资源 的 现象 进行 防御 的 措施 。 访 问 控制 具体 包括 两 个 方面 的 含义 : 一 是 指 用 
户 的 身份 验证 即 对 用 户 进入 系统 的 控制 ， 最 简单 常用 的 方法 是 用 户 账户 与 口令 验证 ;二 是 
用 户 进 入 系统 后 根据 用 户 的 身份 对 其 访问 资源 的 行为 加 以 限制 ， 最 常用 的 方法 是 访问 权限 
和 资源 属性 限制 。 访 问 控制 在 整个 信息 安全 系统 的 逻辑 结构 中 所 处 的 位 置 如 图 3-1 所 示 。 


= 呈 
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有 a 
图 3-1 信息 安全 系统 的 逻辑 结构 

在 访问 控制 系统 中 ， 一 般 包括 主体 、 客 体 和 访问 策略 3 个 要 素 。 

(1) 主体 是 指 发 出 资源 访问 操作 请 求 的 主动 方 ， 是 动作 的 发 起 者 。 主 体 的 含义 是 广泛 
的 ， 可 以 是 用 户 组 、 用 户 本 身 ， 也 可 以 是 用 户 使 用 的 计算 机 终端 、 移 动 设备 等 ， 甚 至 可 以 
是 网 络 上 的 硬件 设备 、 无 线 通信 中 的 终端 等 。 

(2) 客体 是 接受 其 他 实体 访问 的 被 动 方 ， 是 在 访问 中 必须 进行 控制 的 资源 。 凡 是 可 以 
被 操作 的 数据 、 对 象 都 可 以 认为 是 客体 。 客 体 可 以 是 数据 、 文 件 、 信 息 等 的 集合 体 ， 也 可 
以 是 网 络 上 的 硬件 设备 、 无 线 通信 中 的 终端 等 。 

(3) 访问 策略 就 是 一 套 访 问 的 规则 ， 用 以 确定 一 个 主体 是 否 对 客体 拥有 访问 的 能 力 。 
它 决 定 了 主体 与 客体 之 间 交 互 作用 时 可 行 的 操作 。 

访问 控制 的 目的 是 为 了 限制 主体 对 客体 的 访问 权限 ， 决 定 用 户 能 做 什么 操作 ， 也 决定 
了 应 用 程序 可 以 进行 什么 样 的 操作 ， 从 而 使 资源 在 合法 的 范围 内 使 用 。 


2 


3.2.3 访问 控制 的 类 型 


访问 控制 依 其 不 同 的 实现 方法 ， 可 以 分 为 自主 访问 控制 、 强 制 访问 控制 、 基 于 角色 的 
访问 控制 、 基 于 任务 的 访问 控制 和 基于 对 象 的 访问 控制 等 。 

1. 自主 访问 控制 

自主 访问 控制 (Discretionary Access Control，DAC) 是 一 种 最 为 普遍 的 访问 控制 手段 ， 
是 指 系统 允许 经 过 身份 验证 和 授权 之 后 ， 有 访问 许可 的 主体 能 够 直接 或 间接 地 向 其 他 主体 
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转让 访问 权 。 自 主 访问 控制 是 在 确认 主体 身份 以 及 (或 ) 它们 所 属 组 的 基础 上 ， 控 制 主体 
的 活动 ， 实 施用 户 权 限 管理 、 访 问 属性 ( 读 、 写 、 执 行 ) 管理 等 。 

自主 访问 控制 的 特点 是 主体 可 以 自主 地 把 自己 所 拥有 客体 的 访问 权限 授予 其 他 主体 或 
者 从 其 他 主体 收回 所 授予 的 权限 ， 访 问 通 常 基于 访问 控制 表 (Access Control List，ACL )。 


2， 强制 访问 控制 


强制 访问 控制 (Mandatory Access Control，MAC)， 是 用 户 和 客体 资源 都 被 赋予 了 一 定 
的 安全 级 别 ， 用 户 不 能 改变 自身 和 客体 的 安全 级 别 ， 只 有 管理 员 才 能 确定 用 户 和 用 户 组 的 
访问 权限 。 

强制 访问 控制 一 般 与 自主 访问 控制 结合 使 用 ,并 且 实 施 一 些 附 加 的 、 更 强 的 访问 限制 。 
一 个 主体 只 有 通过 了 自主 与 强制 性 访问 限制 检查 后 ， 才 能 访问 某 个 客体 。 用 户 可 以 利用 自 
主 访问 控制 来 防范 其 他 用 户 对 自己 客体 的 攻击 。 由 于 用 户 不 能 直接 改变 强制 访问 控制 属性 ， 
所 以 强制 访问 控制 提供 了 一 个 不 可 逾越 的 、 更 强 的 安全 保护 层 以 防止 其 他 用 户 偶然 或 故意 
地 滥用 自主 访问 控制 。 

自主 访问 控制 和 强制 访问 控制 在 企业 的 组 织 结构 或 者 是 系统 安全 需求 处 于 变化 的 过 
程 中 ， 需 要 大 量 的 、 繁 琐 的 授权 变动 ， 系 统管 理 员 的 工作 将 变 得 非常 繁重 ， 更 糟糕 的 是 容 
易 发 生 错误 造成 一 些 意 想 不 到 的 安全 漏洞 。 因 此 ， 有 必要 引入 其 他 的 访问 控制 方法 来 加 以 
解决 。 

3， 基 于 角色 的 访问 控制 


基于 角色 的 访问 控制 (Role-Based Access Control，RBAC) 的 基本 思想 就 是 要 求 确定 
每 一 个 用 户 在 系统 中 所 扮演 的 角色 ， 不 同 的 角色 具有 不 同 的 访问 权限 ， 这 些 权 限 由 系统 管 
理 员 分 配给 角色 ， 用 户 可 执行 的 操作 与 其 所 扮演 角色 的 职能 相 匹 配 。 

RBAC 从 控制 主体 的 角度 出 发 ， 根 据 管理 中 相对 稳定 的 职权 和 责任 来 划分 角色 ， 将 访 
问 权 限 与 角色 相 联 系 。 例 如 ， 和 角色 “数据 备份 管理 员 ” 的 权限 就 是 只 能 完成 对 系统 数据 的 
备份 和 还 原 的 相关 操作 。 通 过 给 用 户 分 配合 适 的 角色 ， 让 用 户 与 访问 权限 相 联 系 ， 使 角色 
成 为 访问 控制 中 访问 主体 和 客体 之 间 的 一 座 桥梁 。 

RBAC 中 引入 了 角色 的 概念 ， 用 角色 表示 访问 主体 具有 的 职权 和 责任 ， 灵 活 地 表达 和 
实现 了 企业 的 安全 策略 ， 使 系统 权限 管理 在 企业 的 组 织 视 图 这 个 较 高 的 抽象 集 上 进行 ， 从 
而 简化 了 权限 设置 ， 较 好 地 解决 了 企业 管理 信息 系统 中 用 户 数 量 多 、 变 动 频 繁 的 问题 。 

4. 基于 任务 的 访问 控制 

基于 任务 的 访问 控制 (Task-Based Access Control，TBAC) 是 从 应 用 和 企业 层 角度 来 
解决 安全 问题 ， 而 已 往 的 访问 控制 是 从 系统 的 角度 出 发 。 它 采用 “面向 任务 ”的 观点 ， 从 
任务 的 角度 来 建立 安全 模型 和 实现 安全 机 制 ， 在 任务 处 理 的 过 程 中 提供 动态 实时 的 安全 
管理 。 

在 TBAC 中 ， 对 和 象 的 访问 权限 控制 并 不 是 静止 不 变 的， 而 是 随 着 执行 任务 的 上 下 文 环 
境 发 生变 化 ， 这 也 正 是 我 们 称 其 为 主动 安全 模型 的 原因 。TBAC 是 在 工作 流 的 环境 中 考虑 
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对 信息 的 保护 问题 。 在 工作 流 环 境 中 ， 每 一 步 对 数据 的 处 理 都 与 以 前 的 处 理 相 关 ， 相 应 的 
访问 控制 也 是 这 样 ， 因 而 TBAC 是 一 种 上 下 文 相关 的 访问 控制 模型 。 它 不 仅 能 对 不 同 工 作 
流 实行 不 同 的 访问 控制 策略 ， 而 且 还 能 对 同一 工作 流 的 不 同 任务 实例 实行 不 同 的 访问 控制 
策略 。 这 就 是 “基于 任务 ”的 含义 ， 所 以 TBAC 又 是 一 种 基于 实例 (Instance-Based) 的 访 
问 控制 模型 。 由 于 任务 都 有 时 效 性 ， 所 以 在 基于 任务 的 访问 控制 中 ， 用 户 对 于 授予 他 的 权 
限 的 使 用 也 是 有 时 效 性 的 。 

5. 基于 对 象 的 访问 控制 

基于 对 象 的 访问 控制 (ObjectBased Access Control，OBAC ) 是 一 种 基于 受 控 对 象 的 访 
问 控 制 方法 。 它 将 访问 控制 列表 与 受 控 对 象 或 受 控 对 象 的 属性 相关 联 ， 并 将 访问 控制 选项 
设计 成 为 用 户 、 组 或 角色 及 其 对 应 权限 的 集合 ， 同 时 允许 对 策略 和 规则 进行 重用 、 继 承 和 
派生 操作 。 这 样 ， 不 仅 可 以 对 受 控 对 象 本 身 进行 访问 控制 ， 对 受 控 对 象 的 属性 也 可 以 进行 
访问 控制 ， 而 且 派 生 对 象 可 以 继承 父 对 象 的 访问 控制 设置 ， 这 对 于 信息 量 巨 大 、 信 息 内 容 
更 新 变化 频繁 的 管理 信息 系统 非常 有 益 ， 可 以 减轻 由 于 信息 资源 的 派生 、 演 化 和 重组 等 带 
来 的 分 配 、 设 定 角 色 权 限 等 的 工作 量 。 

OBAC 从 信息 系统 的 数据 差异 变化 和 用 户 需 求 出 发 ， 有 效 地 解决 了 信息 数据 量 大 、 数 
据 种 类 繁多 、 数 据 更 新 变化 频繁 的 大 型 管理 信息 系统 的 安全 管理 问题 。OBAC 从 受 控 对 象 
的 角度 出 发 ， 将 访问 主体 的 访问 权限 直接 与 受 控 对 象 相关 联 ， 一 方面 定义 对 象 的 访问 控制 
列表 ， 增 加 、 删 除 、 修 改 访问 控制 项 易于 操作 ， 男 一 方面 ， 当 受 控 对 象 的 属性 发 生 改 变 ， 
或 者 受 控 对 象 发 生 继承 和 派生 行为 时 ， 无 须 更 新 访问 主体 的 权限 ， 只 需要 修改 受 控 对 象 的 
相应 访问 控制 项 即 可 ， 从 而 减少 了 访问 主体 的 权限 管理 ， 降 低 了 授权 数据 管理 的 复杂 性 。 


3.2.4 访问 控制 措施 


访问 控制 是 保证 网 络 系统 安全 的 主要 措施 ， 其 主要 任务 是 保证 网 络 资源 不 被 非法 使 用 
和 非法 访问 。 有 具体 的 访问 控制 措施 有 以 下 几 种 ; 
1. 入 网 访问 控制 


入 网 访问 控制 为 网 络 访问 提供 了 第 一 层 访问 控制 。 它 控制 哪些 用 户 能 够 登录 到 服务 器 
获取 网 络 资源 ， 控 制 准许 用 户 入 网 的 时 间 和 准许 他 们 在 哪 台 工作 站 上 入 网 。 用 户 的 入 网 
访问 控制 可 分 为 3 个 步骤 : 用 户 名 的 识别 与 验证 、 用 户口 令 的 识别 与 验证 、 用 户 账 户 的 默 
认 限 制 检 查 。 三 道 关 卡 中 只 要 任何 一 关 未 过 ， 该 用 户 便 不 能 进入 该 网 络 。 

对 网 络 用 户 的 用 户 名 和 口令 进行 验证 是 防止 非法 访问 的 第 一 道 防线 。 每 个 用 户 在 网 络 
注册 时 都 要 由 系统 指定 或 由 用 户 自己 选择 一 个 用 户 账户 和 用 户口 令 ， 这 些 账户 和 口令 均 会 
存放 在 特定 的 数据 库 中 。 用 户 在 接 入 网 络 时 首先 要 输入 用 户 名 和 口令 ， 服 务 器 将 验证 所 输 
入 的 用 户 名 是 否 合法 。 如 果 验 证 合法 ， 才 继续 验证 用 户 输入 的 口令 ; 否则 ， 用 户 将 被 拒 之 
于 网 络 之 外 。 用 户 的 口令 是 用 户 入 网 的 关键 所 在 。 为 保证 口令 的 安全 性 ， 用 户口 令 必须 经 
过 加 密 ， 然 后 存储 到 特定 的 数据 库 中 。 
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除了 采用 用 户 名 和 口令 进行 验证 之 外 , 也 可 利用 生物 识别 技术 对 用 户 进行 唯一 特征 ( 例 
如 ， 指 纹 、 声 音 、 视 网 膜 图 像 等 ) 的 验证 ， 还 可 以 使 用 便携 式 验证 器 ， 如 智能 卡 、 加 密 狗 
等 硬件 来 验证 用 户 的 身份 。 
用 户 名 和 口令 验证 有 效 之 后 ， 再 进一步 进行 用 户 账 户 的 默认 限制 检查 。 系 统 应 能 控制 
用 户 登 录入 网 的 站 点 、 限 制 用 户 入 网 的 时 间 、 限 制 用 户 入 网 的 工作 站 数量 。 当 用 户 对 交 费 
网 络 的 访问 “资费 ”用 尽 时 ， 网 络 还 应 能 对 用 户 的 账户 加 以 限制 ， 用 户 此 时 将 无 法 进入 网 
络 访问 网 络 资源 。 此 外 ， 系 统 还 应 对 所 有 用 户 的 访问 进行 审计 ， 包 括 用 户 的 访问 时 间 及 访 
问 行为 。 
为 了 防止 非法 用 户 使 用 暴力 破解 的 方式 〈 即 采用 穷 举 的 方式 ) 破解 正常 用 户 的 账户 和 
密码 ， 系 统 在 用 户 登录 时 应 制定 账户 锁定 策略 。 在 达到 最 大 的 登录 失败 次 数 之 后 ， 系 统 将 
自动 锁定 该 账户 ， 不 允许 该 账户 反复 尝试 登录 系统 。 
2. 资源 访问 控制 
资源 访问 控制 是 对 客体 资源 信息 的 访问 控制 管理 ， 其 中 包括 系统 访问 控制 、 文 件 目录 
访问 控制 和 文件 属性 访问 控制 。 
e@ 系统 访问 控制 是 指 一 个 网 络 系统 管理 员 应 当 为 用 户 指定 适当 的 访问 权限 ， 这 些 访 
问 权限 控制 着 用 户 对 服务 器 的 访问 。 应 限制 普通 用 户 对 服务 器 控制 台 的 访问 ， 以 
防止 非法 用 户 修改 、 删 除 服 务 器 的 配置 ， 并 做 好 服务 器 操作 的 审计 工作 ， 记 录用 
户 对 服务 器 配置 的 修改 。 

@ 文件 目录 访问 控制 是 指 用 户 被 赋予 一 定 的 权限 ， 在 权限 的 允许 下 ， 哪 些 用 户 可 以 
访问 哪些 目录 、 子 目录 、 文 件 和 其 他 的 资源 ， 哪 些 用 户 可 以 对 其 中 的 哪些 目录 、 
子 目录 、 文 件 或 设备 进行 哪些 操作 。 

@ ”属性 是 系统 直接 赋予 文件 和 目录 等 资源 的 ， 对 所 有 用 户 都 具有 约束 权 。 文 件 属性 
访问 控制 将 给 定 的 属性 与 网 络 服务 器 的 文件 、 目 录 和 网 络 设备 联系 起 来 ， 在 权限 
安全 的 基础 上 提供 了 更 进一步 的 安全 性 。 一 旦 目录 、 文 件 具 有 了 某 些 属性 ， 用 户 
(包括 系统 管理 员 ) 便 不 能 超越 这 些 属性 规定 的 访问 权 ， 即 不 论 用 户 的 访问 权限 
如 何 ， 只 能 按照 资源 的 属性 实施 访问 。 

3. 网 络 服务 器 安全 控制 

网 络 服务 器 允许 用 户 以 远程 控制 台 或 远程 登录 的 方式 来 进行 服务 器 的 设置 。 用 户 使 用 
控制 台 可 以 装载 和 外 载 模块 ， 进 行 安装 和 删除 软件 等 操作 。 网 络 服务 器 的 安全 控制 包括 设 
置 口令 锁定 服务 器 控制 台 ， 以 防止 非法 用 户 修改 、 删 除 重要 信息 或 破坏 数据 ; 设 定 服务 器 
登录 的 时 间 限 制 、 非 法 访问 者 检测 和 关闭 的 时 间 间 隔 等 。 

4. 网 络 端口 和 节点 的 安全 控制 

网 络 中 的 节点 和 端口 经 常用 于 加 密 传输 数据 和 进行 数据 的 安全 路 径 选 择 ， 这 些 重要 的 
位 置 必须 能 够 抵御 黑客 的 攻击 。 访 问 网 络 重要 端口 和 节点 时 ， 要 求 访问 者 必须 提供 足以 证 
明 其 身份 的 标识 。 
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5. 网 络 监测 和 锁定 控制 


网 络 管理 员 应 对 网 络 实施 监控 ， 服 务 器 应 记录 用 户 对 网 络 资源 的 访问 。 对 非法 的 网 络 
访问 ， 服 务 器 应 以 图 形 、 文 字 或 声音 等 形式 报警 ， 以 引起 网 络 管理 员 的 注意 。 如 果 不 法 之 
徒 试图 进入 网 络 ， 网 络 服务 器 应 自动 记录 企图 尝试 进入 网 络 的 次 数 ， 如 果 非 法 访问 的 次 数 
达到 设 定数 值 ， 那 么 该 账户 将 被 自动 锁定 。 

6. 防火 墙 控制 

防火 墙 (Firewall) 是 在 两 个 网 络 之 间 执行 访问 控制 策略 的 一 个 或 一 组 安全 系统 。 它 是 
一 种 计算 机 硬件 和 软件 系统 的 集合 ， 是 实现 网 络 安全 策略 的 有 效 工 具 之 一 。 通 常 防火 墙 建 
立 在 内 部 网 和 Internet 之 间 的 一 个 路 由 器 或 计算 机 上 。 它 就 如 同一 堵 带 有 安全 门 的 墙 , 可 以 
阻止 外 界 对 内 部 网 资源 的 非法 访问 和 通行 合法 访问 ， 也 可 以 防止 内 部 对 外 部 网 的 不 安全 访 
问 和 通行 安全 访问 。 


3.3 ”Windows NT 系统 安全 


Windows NT 是 Microsoft 推出 的 面向 工作 站 、 网 络 服务 器 和 大 型 计算 机 的 网 络 操作 系 
统 ， 也 可 用 作 PC 机 操作 系统 。 它 与 通信 服务 紧密 集成 ， 提 供 文件 和 打印 服务 ， 能 运行 客 
户 机 /服务 器 应 用 程序 ， 内 置 了 Internet/Intranet 功能 ， 已 逐渐 成 为 企业 组 网 的 标准 平台 。NT 
即 新 技术 (New Technology)， 从 5.0 版 开始 Windows NT 只 是 简单 地 称 为 Windows。 下 面 
的 讲解 将 以 介绍 Windows Server 2003 (Windows NT 5.2) 为 主 。 


3.3.1 Windows NT 的 安全 基础 


Windows NT 提供 了 两 个 微软 管理 界面 MMC 的 插件 作为 安全 性 配置 工具 , 即 安全 性 模 
板 和 安全 性 配置 分 析 。 安 全 性 模板 提供 了 针对 10 多 种 角色 (从 基本 工作 站 、 基 本 服务 器 一 
直到 高 度 安 全 的 域 控制 器 ) 的 计算 机 的 管理 模板 ， 这 些 角 色 的 安全 性 要 求 是 不 同 的 。 通 过 
安全 性 配置 ， 管 理 员 可 以 创建 针对 当前 计算 机 的 安全 性 策略 。 以 下 是 Windows NT 系统 的 
安全 特性 。 
1. 数据 的 安全 性 
Windows NT 所 提供 的 保证 数据 保密 性 和 完整 性 的 特性 ， 主 要 体现 在 以 下 3 个 方面 。 
(1) 用 户 登 录 的 安全 性 。 从 用 户 登 录 网 络 开 始 ，Windows NT 借助 Kerberos 和 PKI 等 
验证 协议 提供 了 强 有 力 的 口令 保护 和 单 点 登录 。 
(2) 网 络 数据 的 保护 。 本 地 网 络 中 的 数据 是 由 验证 协议 来 保证 其 安全 性 的 。 如 果 需 要 
更 高 的 安全 性 ， 还 可 以 通过 IPSec 的 方法 ， 提 供 点 到 点 的 数据 加 密 安 全 性 。 
(3) 存储 数据 的 保护 。 可 以 采用 数字 签名 来 签署 软件 产品 或 者 加 密 文件 系统 。 加 密 文 
件 系统 对 每 个 文件 都 采用 随机 密 钥 来 加 密 ， 不 但 可 以 加 密 本 地 的 NTFS 文件 或 文件 夹 ， 还 
可 以 加 密 远程 的 文件 ， 不 影响 文件 的 输入 /输出 。 其 恢复 策略 由 Windows NT 的 整体 安全 性 
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策略 决定 ， 具 有 恢复 权限 的 管理 员 才 可 以 恢复 数据 ， 但 是 不 能 恢复 用 来 加 密 的 密 钥 。 
2. 企业 之 间 通 信 的 安全 性 
Windows NT 为 不 同 企业 之 间 的 通信 提供 了 多 种 安全 协议 和 用 户 模式 的 内 置 的 集成 支 
持 ， 其 实现 方式 如 下 。 
(1) 在 目录 服务 中 创建 专门 为 外 部 企业 开设 的 用 户 账号 。 通 过 Windows NT 的 活动 目 
录 ， 可 以 设 定 组 织 单元 、 授 权 或 VPN 等 方式 ， 并 对 它们 进行 管理 。 
(2) 建立 域 之 间 的 信任 关系 。 用 户 可 以 在 Kerberos 认证 或 PKI 得 到 验证 之 后 ， 远 程 
访问 已 经 建立 信任 关系 的 域 。 
(3) 公用 密 钥 体制 及 电子 证 书 可 以 用 于 提供 用 户 身份 确认 和 授权 ,企业 可 以 把 通过 电 
子 证 书 的 外 部 用 户 映射 为 目录 服务 中 的 一 个 用 户 账号 。 
3. 企业 和 Internet 的 单 点 安全 登录 
当 用 户 成 功 地 登录 到 网 络 之 后 , Windows NT 透明 地 管理 一 个 用 户 的 安全 属性 , 而 不 管 
这 种 安全 属性 是 通过 用 户 账 号 和 用 户 组 的 权限 规定 来 体现 的 ， 还 是 通过 数字 签名 和 电子 证 
书 来 体现 的 。 先 进 的 应 用 服务 器 都 应 该 能 从 用 户 登 录 时 所 使 用 的 安全 支持 提供 器 接口 
(Security Support Provider Interface，SSPI) 获得 用 户 的 安全 属性 ， 从 而 使 用 户 做 到 单 点 登 
录 ， 访 问 所 有 的 服务 。 
4. 安全 管理 的 易 操 作 性 和 良好 扩展 性 
通过 在 活动 目录 中 使 用 组 策略 ， 管 理 员 可 以 集中 地 把 所 需要 的 安全 保护 加 强 到 某 个 计 
算 机 对 象 上 。Windows NT 包括 了 一 些 安全 性 模板 , 既 可 以 针对 计算 机 所 担当 的 角色 来 实施 ， 
也 可 以 作为 创建 定制 的 安全 性 模板 的 基础 。 


3.3.2 ” Windows NT 安全 汤 油 的 修补 


Windows 系统 存在 着 很 多 安全 漏洞 ， 黑 客 们 往往 利用 这 些 漏洞 进行 攻击 。 虽 然 防 火 墙 
可 起 到 一 定 的 防护 作用 , 但 是 有 些 破坏 性 程序 仍然 可 以 利用 系统 漏洞 绕 过 防火 墙 入 侵 系统 。 
对 于 系统 漏洞 ， 最 好 的 解决 方法 是 打 补 丁 或 者 软件 修补 。 

微软 在 其 网 站 上 不 定期 地 发 布 安全 更 新 公告 ， 周 期 大 约 为 每 个 月 两 次 。 中 文公 告 的 地 
址 为 http://www.microsoft.com/china/technet/security/current.mspx。 为 了 让 用 户 知道 在 什么 时 
候 进行 安全 更 新 ， 微 软 制定 了 对 个 人 安全 升级 的 一 个 风险 级 别 指标 。 微 软 的 风险 级 别 是 根 
据 国 际 标 准 化 组 织 ISO 的 风险 管理 级 别 制定 的 ,这 些 级 别 推荐 我 们 何 时 需要 安装 安全 更 新 ， 
如 表 3-1 所 示 。 


表 3-1 微软 安全 风险 级 别 


严重 级 别 建议 升级 时 间 


紧急 系统 可 以 让 菜 此 蠕虫 病毒 在 没有 用 户 行为 的 情况 下 进行 繁殖 | 在 24 小 时 之 内 
重要 。 | 系统 可 以 采取 折 中 的 办 法 来 平衡 用 户 数据 的 机 密 性 、 完 整 性 、 | /月 内 


有 效 性 与 处 理 资源 的 完整 性 和 有 效 性 之 间 的 关系 


严重 级 别 
一 般 


定义 建议 升级 时 间 
情况 严重 ,但 是 已 经 被 化 解 为 一 个 可 以 容忍 的 程度 。 可 通过 修 | 等 到 下 一 个 升级 包 出 现 ,或 
改 默认 配置 、 审 核 用 户 行为 来 提高 系统 的 安全 性 者 最 迟 在 4 个 月 之 内 升级 


_ 。 等 到 下 一 个 升级 包 出 现 ,或 
品 该 漏洞 攻击 的 难度 很 大 或 只 会 产生 很 轻 
黑客 利用 该 漏洞 攻击 的 难度 很 大 或 只 会 产生 很 轻微 的 影响 者 最 迟 在 1 年 之 内 升级 


如 果 想 查看 系统 缺失 的 安全 更 新 补丁 和 潜在 漏洞 ， 可 以 使 用 微软 基准 安全 分 析 工 具 
(Microsoft Baseline Security Analyzer，MBSA)。MBSA 包括 可 执行 本 地 或 远程 Windows 
系统 扫描 的 图 形 和 命令 行 界面 ， 其 图 形 界面 如 图 3-2 所 示 。MBSA 将 扫描 基于 Windows 的 
计算 机 , 并 检查 操作 系统 和 已 安装 的 其 他 组 件 ( 如 IIS (Internet Information Services) 和 SQL 
Server)， 以 发 现 安全 方面 的 配置 错误 ， 并 及 时 通过 推荐 的 安全 更 新 进行 修补 。MBSA 需要 
以 管理 员 权限 开启 特定 的 服务 ， 才 能 对 目标 主机 进行 扫描 。 例 如 ，MBSA 需要 开启 目标 主 
机 的 Server 服务 和 远程 注册 服务 。 
MBSA 是 微软 的 免费 工具 ， 可 以 登录 http://www.microsoft.com/china/technet/security/ 
tools/mbsahome.mspx 下 载 。 
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图 3-2 MBSA 的 图 形 界 面 
微软 安全 更 新 的 安装 方式 有 以 下 3 种 : 
1. Windows 自动 更 新 


对 终端 用 户 而 言 , 最 好 的 安全 更 新 方式 就 是 让 他 们 根本 不 需要 考虑 这 个 问题 . Windows 
的 自动 更 新 就 是 专门 针对 这 种 情况 设计 的 。 当 有 新 的 Windows 安全 更 新 时 可 以 自动 通知 用 
户 ， 并 且 可 以 配置 自动 下 载 和 安装 哪些 更 新 。 用 户 不 以 管理 员 身 份 登录 ， 更 新 功能 仍 起 作 
] 。 如 果 安 装 更 新 需要 重新 启动 ， 则 Windows 会 自动 地 重启 计算 机 。 这 个 特性 使 自动 更 新 
很 少 运 用 在 服务 器 上 。 

在 安装 好 操作 系统 之 后 第 一 次 启动 时 ， 机 器 会 询问 是 否 激活 自动 更 新 。 默 认 选 项 是 马 
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上 下 载 所 有 的 补丁 ， 并 通知 用 户 进行 安装 。 

2. Windows 软件 更 新 服务 

对 于 中 小 型 网 络 ， 最 好 的 选择 可 能 是 配置 所 有 的 客户 机 为 自动 更 新 ， 而 服务 器 使 用 手 
动 更 新 ,然而 某 些 用 户 可 能 需要 定制 安全 更 新 或 者 需要 特定 应 用 程序 的 更 新 , 此 时 Windows 
软件 更 新 服务 (Windows Software Update Services，WSUS) 便 派 上 了 用 场 。WSUS 可 以 从 
微软 网 站 上 免费 下 载 ， 用 户 可 以 拥有 自己 的 Windows 更 新 服务 器 。 不 同 点 是 Windows 自动 
更 新 为 用 户 提供 了 所 有 可 用 的 安全 更 新 , 而 WSUS 只 限于 用 户 所 需要 的 安全 更 新 。 如 果 用 户 
配置 了 一 台 WSUS 服务 器 , 就 能 配置 每 一 台 计算 机 需要 的 更 新 ， 以 确保 所 有 客户 机 安装 指定 
的 更 新 , 而 不 安装 其 他 任何 更 新 。 配置 WSUS 还 可 以 减少 网 络 负载 , 满足 特殊 部 门 的 需要 。 

3. 微软 的 系统 管理 服务 器 


微软 的 系统 管理 服务 器 (Systems Management Server，SMS) 为 Microsoft 平台 提供 了 
用 于 更 新 及 配置 管理 的 全 面 解 决 方案 , 从 而 确保 企业 能 迅速 为 用 户 提供 相关 的 软件 和 更 新 。 
SMS 系统 功能 非常 强大 ， 除 了 安全 补丁 管理 功能 之 外 ， 还 集成 了 应 用 系统 部 署 、 资 产 管理 
和 Windows 管理 服务 集成 等 功能 ， 适 合 于 大 型 企业 使 用 。 


3.3.3 Windows NT 的 安全 机 制 和 技术 


1. Windows NT 的 安全 机 制 


Windows NT 操作 系统 不 仅 通 过 新 的 网 络 技术 来 协助 组 织 扩展 其 操作 , 也 通过 增强 的 安 
全 性 服务 来 协助 组 织 保护 其 信息 及 网 络 资源 。Windows 分 布 式 安全 服务 主要 针对 以 下 业务 
需求 : 让 用 户 登录 一 次 即 可 访问 所 有 企业 资 
源 的 能 力 ; 强大 的 用 户 身份 验证 及 授权 能 力 ; 
内 部 和 外 部 资源 间 的 安全 通信 ; 设置 及 管理 
必要 安全 性 策略 的 能 力 ， 自 动 化 的 安全 性 审 
核 ; 与 其 他 操作 系统 和 安全 协议 的 互 操作 性 ; 
支持 使 用 Windows 安全 设置 功能 进行 应 用 程 
序 开 发 的 可 扩展 架构 。 这 些 功能 是 整体 
Windows 安全 设置 架构 的 重要 元 素 。 
Windows NT 的 操作 系统 安全 级 别 为 C2， 主 
要 包含 安全 策略 、 用 户 验证 、 访 问 控 制 、 加 了 


密 、 审 计 和 管理 这 六 大 安全 机 制 。Windows 
NT 安全 系统 的 逻辑 结构 如 图 3-3 所 示 , 其 中 
最 主要 的 是 身份 验证 机 制 和 访问 控制 机 制 。 图 3.3 ”Widnows NT 安全 系统 的 逻辑 结构 
(1) 用 户 身 份 验 证 
Windows NT 的 安全 模型 包括 用 户 身 份 验证 的 概念 , 这 种 身份 验证 赋予 用 户 登录 系统 访 
问 网 络 资源 的 能 力 。 在 这 种 身份 验证 模型 中 ， 安 全 性 系统 提供 了 两 种 类 型 的 身份 验证 ， 即 
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交互 式 登录 和 网 络 身份 验证 。 为 了 提供 这 两 种 类 型 的 身份 验证 , Windows NT 安全 系统 包括 
了 3 种 不 同 的 身份 验证 机 制 一 一 Kerberos V5、 公 钥 证 书 和 NTLM (NT LAN Manager) 因为 
第 一 次 出 现 NTLM 缩写 , 所 以 要 加 上 原 词 。 用 户 在 活动 目录 中 必须 有 一 个 Windows 用 户 账 
户 ， 以 登录 到 计算 机 或 域 中 。 此 账户 会 为 用 户 创建 一 个 身份 ， 然 后 操作 系统 会 使 用 此 身份 
验证 用 户 的 身份 并 授予 访问 特定 域 资源 的 权限 。 用 户 账户 还 可 用 作 一 些 应 用 程序 的 服务 账 
户 。 也 就 是 说 ， 服 务 可 被 配置 成 以 用 户 账户 登录 (身份 验证 )， 然 后 通过 该 用 户 账户 授予 对 
特定 网 络 资源 的 访问 权限 。 

(2) 基于 对 象 的 访问 控制 

通过 用 户 身 份 验证 ，Windows 允许 管理 员 控制 网 上 资源 或 对 象 的 访问 。 管 理 员 通过 对 
存储 在 活动 目录 中 的 对 象 进行 安全 设置 可 以 实现 对 网 上 资源 的 访问 控制 。 文 件 、 打 印 机 和 
服务 等 在 活动 目录 中 都 是 对 象 的 实例 。 通 过 管理 对 象 的 属性 ， 管 理 员 可 以 设置 权限 ， 分 配 
所 有 权 以 及 监视 用 户 访问 。 管 理 员 不 仅 可 以 控制 对 特殊 对 象 的 访问 ， 也 可 以 控制 对 该 对 象 
特定 属性 的 访问 。 

2. Windows NT 的 安全 技术 

(1) 活动 目录 和 域 

活动 目录 用 于 存储 整个 网 络 上 资源 的 目录 信息 ， 便 于 用 户 快速 、 准 确 地 查找 、 管 理 和 
使 用 这 些 资源 。 活 动 目录 提供 了 目录 服务 功能 ， 其 中 就 包括 集中 组 织 、 管 理 和 控制 网 络 资 
源 访问 的 方法 。 活动 目录 使 物理 网 络 拓扑 和 协议 透明 化 , 这 样 网 络 上 的 用 户 可 以 访问 资源 ， 
而 不 需要 知道 资源 在 什么 地 方 ， 或 物理 上 它 是 如 何 连 接 到 网 络 上 的 。 同 时 ， 活 动 目录 提供 
了 对 网 络 资源 的 集中 控制 ， 允 许 用 户 只 登录 一 次 就 可 以 访问 整个 活动 目录 的 资源 。 

Windows NT 的 安全 机 制 是 建立 在 对 象 的 基础 上 的 , 因此 对 象 的 概念 与 安全 问题 密切 相 
关 。 活 动 目录 中 存储 网 络 对 象 的 信息 。 活 动 目录 对 象 代表 网 络 资源 ， 例 如 用 户 、 组 、 计 算 
机 和 打印 机 ， 而 且 网 络 中 所 有 的 服务 器 、 域 和 站 点 都 作为 对 象 。 

域 是 活动 目录 中 逻辑 结构 的 核心 单元 。 一 个 域 包含 许多 台 计 算 机 ,它们 由 管理 者 设 定 ， 
共用 一 个 目录 数据 库 。 每 一 个 域 都 有 一 个 唯一 的 名 称 。 在 Windows NT 网 络 中 ， 域 起 着 安 
全 边界 的 作用 一 一 保证 域 的 管理 者 只 能 在 该 域内 有 必要 的 管理 权限 ， 除 非 管理 者 获得 其 他 
域 的 明确 授权 。 每 个 域 都 有 自己 的 安全 策略 和 与 其 他 域 的 安全 联系 方式 。 

信任 关系 是 域 与 域 之 间 建 立 的 连接 关系 。 它 可 以 执行 对 经 过 委托 的 域内 用 户 的 登录 审 
核 工 作 。 域 之 间 经 过 委托 后 ， 用 户 只 要 在 某 一 个 域内 有 一 个 用 户 账户 ， 就 可 以 使 用 其 他 域 
内 的 网 络 资源 了 。 

Windows NT 系统 提供 4 种 基本 的 域 模型 : 单 域 模型 、 主 域 模型 、 多 主 域 模型 和 完全 信 
任 域 模型 。 

Q@ 单 域 模型 : 网 络 中 只 有 一 个 域 ， 就 是 主 域 ， 域 中 有 一 个 主 域 控制 器 和 一 个 或 多 个 备 
份 域 控制 器 。 该 模型 适用 于 用 户 较 少 的 网 络 。 

@ 主 域 模型 : 网 络 中 至 少 有 两 个 域 ， 但 只 在 其 中 一 个 域 〈 主 域 ) 中 创建 所 有 用 户 并 存 
储 这 些 用 户 信息 。 其 他 域 则 称 为 资源 域 ， 负 责 维护 文件 目录 和 打印 机 资源 ， 但 不 需要 维护 
用 户 账户 。 资 源 域 都 信任 主 域 ， 使 用 主 域 中 定义 的 用 户 和 全 局 组 。 该 模型 适用 于 用 户 不 太 
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多 ， 但 又 必须 将 资源 分 组 的 情况 。 
@ 多 主 域 模型 : 网 络 中 有 多 个 主 域 和 多 个 资源 域 ， 其 中 主 域 作为 账户 域 , 所 有 的 用 户 
账户 和 组 都 在 主 域 之 上 创建 。 各 主 域 都 相互 信任 ， 其 他 的 资源 域 都 信任 主 域 ， 但 各 资源 域 
之 间 不 相互 信任 。 该 模型 便于 大 型 网 络 的 统一 管理 ， 具 有 较 好 的 伸缩 性 。 因 此 ， 该 模型 适 
用 于 用 户 数 很 多 且 有 一 个 专门 管理 机 构 的 网 络 。 

@ 完全 信任 域 模 型 : 网 络 中 有 多 个 主 域 ， 且 这 些 域 都 相互 信任 ; 所 有 域 在 控制 上 都 是 
平等 的 ， 每 个 域 都 执行 自己 的 管理 。 该 模型 适用 于 各 部 门 管理 自己 的 网 络 。 

(2) Kerberos 验证 协议 

Kerberos 是 由 MIT 开发 的 用 于 提供 网 络 认证 服务 的 系统 。 它 可 用 来 为 网 络 上 的 各 种 
Server 提供 认证 服务 ， 使 得 口令 不 再 是 以 明文 方式 在 网 络 上 传输 ， 并 且 连 接 之 间 的 通信 是 
加 密 的 。 它 和 PKI 认证 的 原理 不 同 ，PKI 使 用 公 钥 体制 (不 对 称 密码 体制 )，Kerberos 基于 
私 钥 体 制 (对称 密码 体制 )。Kerberos 称 为 可 信 的 第 三 方 验证 协议 ， 意味 着 它 运 行 在 独立 于 
任何 客户 机 或 服务 器 的 服务 器 之 上 。Kerberos 5 的 身份 验证 协议 提供 了 一 种 相互 验证 ( 通 
过 服务 器 和 客户 端 相 互 验证 或 者 一 台 服务 器 与 其 他 服务 器 之 间 相互 验证 ) 的 身份 验证 机 制 。 
Kerberos 为 远程 登录 提供 安全 性 并 可 提供 单个 登录 解决 方案 ， 以 便 用 户 无 须 每 次 访问 新 服 
务 器 时 都 登录 。 验 证 服务 器 将 所 有 用 户 的 密码 存储 在 中 央 数 据 库 中 ， 由 它 颁发 凭据 ， 而 客 
户 端 使 用 凭据 来 访问 验证 服务 器 领域 内 的 服务 器 。 适 用 范围 包括 接 入 服务 器 跟踪 的 所 有 用 
户 和 服务 器 。 验 证 服务 器 由 一 个 管理 人 员 在 物理 上 进行 保护 和 管理 。 由 于 它 验证 用 户 身份 ， 
因此 应 用 程序 服务 器 得 以 免除 此 任务 ， 它 们 “信任 ”验证 服务 器 为 特定 客户 颁发 的 凭 
Kerberos 系统 对 用 户 的 口令 进行 加 密 后 作为 用 户 的 私 钥 , 避免 了 口令 在 信道 中 的 明文 传输 ， 

实现 了 较 高 的 安全 性 ， 用户 在 使 用 过 程 中 ， 仅 在 登录 时 要 求 输入 口令 ， 实 现 对 合法 用 户 的 

透明 性 。Kerberos 还 可 以 较 方便 地 实现 用 户 数 的 动态 改变 。Kerberos 协议 已 被 完全 集成 到 
Windows NT 5.0 的 安全 性 结构 中 。 

(3) 加 密 文件 系统 EFS 

对 受 保护 文件 的 访问 ， 可 以 通过 用 户 权限 来 限制 。 然 而 ， 如 果 入 侵 者 能 够 得 到 用 户 对 
磁盘 驱动 器 的 权限 ， 即 可 在 其 他 计算 机 上 安装 该 驱动 器 ， 然 后 在 该 机 的 操作 系统 平台 上 用 
管理 级 特权 访问 存储 在 该 驱动 器 上 的 数据 。 为 了 防止 这 种 情况 的 发 生 ，Windows NT 提供 
了 一 种 解决 方案 一 一 数据 加 密 。 数 据 加 密使 用 一 种 称 为 “加 密 文件 系统 (Encrypting File 
System，EFS)” 的 功能 。 在 Windows NT 的 NTFS 文件 系统 中 内 置 了 EFS 加 密 系统 ， 利 用 
EFS 加 密 系统 可 以 对 保存 在 硬盘 上 的 文件 进行 加 密 。EFS 加 密 系统 作为 NTFS 文件 系统 的 
一 个 内 置 功能 , 其 加 密 和 解密 过 程 对 应 用 程序 和 用 户 而 言 是 完全 透明 的 。 另外 Windows NT 
内 置 了 数据 恢复 功能 ， 可 以 由 管理 员 恢 复 被 另 一 个 用 户 加 密 的 数据 ， 保 证 了 数据 在 需要 使 
用 的 情况 下 始终 可 用 
EFS 对 NTFS 卷 上 的 文件 和 数据 ， 都 可 以 进行 直接 的 操作 系统 加 密 保存 ， 在 很 大 程度 
te EFS 加 密 是 基于 公 钥 策略 的 。 在 使 用 EFS 加 密 一 个 文件 或 文件 夹 
时 ， 系 统 首先 会 生成 一 个 由 伪 随 机 数组 成 的 文件 加 密 钥 是 (File Encryption Key，FEK)， 然 
后 将 利用 FEK 和 数据 扩展 标准 DES 算法 创建 加 密 后 的 文件 ， 并 把 它 存储 到 硬盘 上 ， 同 时 
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删除 未 加 密 的 原始 文件 。 随 后 系统 利用 用 户 的 公 钥 加 密 FEK, 并 把 加 密 后 的 FEK 存储 在 同 
一 个 加 密 文件 中 。 而 在 访问 被 加 密 的 文件 时 ， 系 统 首先 利用 当前 用 户 的 私 钥 解 密 FEK， 然 
后 利用 FEK 解密 出 文件 。 在 首次 使 用 EFS 时 , 如 果 用 户 还 没有 公 钥 / 私 钥 对 (统称 为 密 钥 )， 
则 会 首先 生成 密 钥 ， 然 后 加 密 数 据 。 如 果 用 户 登 录 到 了 域 环 境 中 ， 密 钥 的 生成 依赖 于 域 控 
制 器 ， 否 则 它 就 依赖 于 本 地 机 器 。 

EFS 加 密 机 制 和 操作 系统 紧密 结合 ， 这 样 也 就 不 必 为 了 加 密 数 据 而 安装 额外 的 软件 ， 

节约 了 使 用 成 本 。EFS 加 密 系统 对 用 户 是 透明 的 ， 也 就 是 说 ， 如 果 用 户 加 密 了 一 些 数据 ， 

那么 该 用 户 对 这 些 数据 的 访问 将 是 完全 允许 的 ， 不 会 受到 任何 限制 。 而 其 他 非 授权 用 户 试 
图 访问 加 密 过 的 数据 时 ， 就 会 收 到 “访问 拒绝 ”的 错误 提示 。EFS 加 密 的 用 户 验 证 过 程 是 
在 登录 Windows 时 进行 的 ， 只 要 登录 到 Windows 就 可 以 打开 任何 一 个 被 授权 的 加 密 文 件 。 

(4) 安全 性 支持 一 一 Windows IP Security 

绝 大 多 数 的 网 络 管理 员 在 考虑 网 络 安全 性 时 ， 都 把 重点 放 在 如 何 防 止 从 企业 网 络 外 部 
发 起 的 攻击 ， 防 火 墙 、 安 全 路 由 器 、 拨 号 访问 的 令 牌 验证 等 概念 也 就 出 现 了 。 这 些 措施 无 
疑 大 大 增强 了 企业 网 络 的 周围 防线 ， 但 所 有 这 些 都 不 能 杜绝 来 自 企业 网 内 部 的 攻击 。 很 多 
重要 机 密 信息 的 泄露 与 遗失 往往 是 由 于 企业 雇员 、 技 术 支 持 人 员 或 临时 合同 工 从 内 部 侵入 
公司 网 络 造成 的 。 

为 了 解决 以 上 问题 ，Windows NT 5.0 推出 了 一 种 新 的 网 络 安全 性 方案 一 一 IP Security， 
简称 IPSec。 它 符合 IETF 宣布 的 IP 安全 性 协议 的 标准 ， 支 持 在 网 络 层 一 级 的 验证 、 数 据 
完整 性 和 加 密 。IPSec 的 主要 目的 是 为 IP 数据 包 提 供 保护 。IPSec 的 基础 是 端 - 端 的 安全 性 
模型 ， 也 就 是 说 只 有 发 送 者 和 接收 者 这 两 台 主 机 知道 有 关 IPSec 保护 的 情况 。 各 个 计算 机 
都 在 它 自己 的 一 端 处 理 安 全 性 。 

在 进行 数据 交换 之 前 ， 先 相互 验证 计算 机 ， 在 两 个 计算 机 之 间 建 立 安全 性 协作 关系 。 
在 数据 传输 之 前 ， 加 密 要 传输 的 数据 。 在 鉴别 或 者 加 密 数据 时 ，IPSec 采用 标准 的 卫 数据 
包 格 式 。 因 此 ， 中 间 的 网 络 设备 没有 必要 用 不 同 于 标准 IP 数据 包 的 方法 来 处 理 IPSec 数据 
包 。IP Security 存在 于 传输 层 之 下 ， 因 此 它 对 应 用 程序 和 用 户 来 说 都 是 透明 的 。 也 就 是 说 ， 
当 在 防火 墙 和 路 由 器 上 实现 卫 Security 时 ， 用 户 桌 面 的 网 络 应 用 程序 不 需要 做 任何 修改 。 


3.3.4 Windows NT 的 安全 管理 措施 


1. 物理 安全 

服务 器 应 当 放 置 在 安装 了 监视 器 的 隔离 房间 内 , 并 且 应 当 保 留 15 天 以 内 的 监控 录像 记 
录 ; 机 箱 、 键 盘 、 抽 屈 等 要 上 锁 ， 钥 匙 要 放 在 安全 的 地 方 ， 以 保证 他 人 即使 在 无 人 值守 时 
也 无 法 使 用 此 计算 机 ; 此 外 ， 还 应 该 禁止 DOS 或 其 他 操作 系统 访问 NTFS 分 区 ， 在 服务 器 
上 设置 系统 启动 口令 ,设置 BIOS 禁用 软盘 引导 系统 ， 不 创建 任何 DOS 分 区 ; 保证 机 房 的 
物理 安全 等 。 

2. 安装 策略 

采用 自 定义 安装 ， 设 置 系统 文件 格式 为 NTFS， 选 择 必要 的 系统 组 件 和 服务 。 因 为 协 
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议和 服务 安装 得 越 多 , 入 侵 者 入 侵 的 途径 越 多 , 潜在 的 系统 安全 隐患 也 就 越 大 。 在 Windows 
NT 操作 系统 下 ， 应 该 充分 利用 NTFS 文件 系统 的 安全 性 一 一 NTFS 文件 系统 可 以 将 每 个 用 
户 允 许 读 / 写 文件 的 权限 限制 在 磁盘 目录 下 的 任何 一 个 文件 夹 内 。 

3. 用 户 账户 策略 

(1) 为 用 户 设置 密码 策略 

适当 地 使 用 密码 策略 并 养 成 良好 的 习惯 ， 可 以 将 受到 伤害 的 可 能 性 降 到 最 低 ， 有 效 地 
避免 攻击 者 获得 受 保护 信息 的 访问 权 、 在 计算 机 中 放 入 特洛伊 木马 或 是 进行 其 他 的 破坏 活 
动 。 对 于 密码 ， 我 们 可 以 创建 密码 策略 来 做 些 强制 设置 。 
下 面 以 使 用 “本 地 安全 设置 ”控制 台 为 例 来 设置 安全 策略 。 启 动 “ 本 地 安全 设置 ?， 打 
开 “ 安 全 设置 ”一 “账户 策略 ”一 “密码 策略 ”， 里 面包 含有 密码 必须 符合 复杂 性 要 求 、 密 
码 长 度 最 小 值 、 密 码 最 长 存留 期 、 密 码 最 短 存留 期 、 强 制 密码 历史 和 为 域 中 所 有 用 户 使 用 
可 以 还 原 的 加 密 来 储存 密码 。 例 如 ， 密 码 长 度 最 小 值 就 是 指 强制 密码 长 度 必须 大 于 所 设 的 
数字 ， 该 数字 最 大 值 是 14。 
(2) 保护 默认 的 管理 员 账 户 

管理 员 账户 Administrator 拥有 整 台 计算 机 的 完全 控制 权 ， 任 何人 只 要 获得 了 管理 员 身 
份 就 可 以 在 该 台 计 算 机 上 做 他 想 做 的 任何 事情 。 因 为 用 户 名 是 已 知 的 ， 所 以 攻击 者 只 需要 
破解 密码 就 可 以 了 。 我 们 可 以 通过 几 个 方面 来 保护 默认 的 管理 员 账 户 : 

@ 为 其 指定 一 个 保险 的 密码 并 且 经 常 改 变 它 。 

@ 修改 Administrator 账户 的 名 称 。 

@ 创建 一 个 假 的 Administrator 账户 ， 将 其 指派 到 Guests 组 。 

(3) 设置 用 户 锁定 策略 

账户 锁定 是 指 为 保护 账户 的 安全 而 将 此 账户 进行 锁定 ， 使 其 在 一 定 的 时 间 内 不 能 再 次 
使 用 ， 以 防止 连续 的 尝试 猜 解 口令 攻击 。 账 户 锁定 策略 设 定 的 第 一 步 就 是 指定 账户 锁定 的 
阅 值 ， 即 锁定 前 该 账户 无 效 登录 的 次 数 n。 如 果 n 次 登录 全 部 失败 ， 就 会 锁定 该 账户 。 通 
过 账户 锁定 策略 ， 可 以 有 效 地 避免 自动 猜 解 工具 的 攻击 ， 同 时 对 于 手动 尝试 者 的 耐心 和 信 
心 也 可 造成 很 大 的 打击 。 锁 定 用 户 账户 常常 会 造成 一 些 不 便 , 但 系统 的 安全 有 时 更 为 重要 。 

使 用 “本 地 安全 策略 ”控制 台 来 设置 用 户 锁定 策略 。 方 法 如 下 : 打开 “本 地 安全 设置 ” 
一 “账户 策略 ”一 “账户 锁定 策略 ”。 其 中 包括 : 账户 锁定 时 间 、 账 户 锁定 阅 值 、 复 位 账户 
锁定 计数 器 。 账 户 锁 定时 间 是 指 用 户 被 锁定 的 时 间 ， 经 过 指定 的 时 间 之 后 ， 该 用 户 会 被 自 
动 解锁 ;， 账户 锁定 阔 值 是 指 在 指定 的 时 间 内 如 果 用 户 输 入 的 错误 密码 次 数 达 到 了 指定 的 数 
字 ， 系 统 就 会 阻止 该 用 户 登录 ; 复位 账户 锁定 计数 器 是 指 在 指定 的 时 间 内 ， 如 果 用 户 输入 
密码 错误 达到 了 指定 的 次 数 ， 就 会 被 锁定 。 

(4) 限制 用 户 登录 

对 于 企业 网 的 用 户 还 可 以 通过 对 其 登录 行为 进行 限制 ， 来 保障 其 用 户 账户 的 安全 。 这 
样 ， 即使 是 密码 出 现 了 泄漏 ， 系 统 也 可 以 在 一 定 程度 上 将 黑客 拒 之 于 门 外 。 在 Windows NT 
系统 中 ， 可 以 限制 用 户 登录 的 时 间 和 地 点 。 其 中 ,“ 登 录 时 间 ” 用 来 设置 允许 该 用 户 登 录 的 
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时 间 , 以 防止 非 工作 时 间 的 登录 行为 ; “登录 到 ”用 来 设置 允许 该 账户 从 哪些 计算 机 上 登录 ， 
限制 非 本 机 登录 行为 的 发 生 。 此 外 ， 还 可 以 通过 “账户 ”选项 来 限制 登录 时 的 行为 。 


4. 系统 权限 与 安全 配置 


对 系统 设置 , 有 一 句 话 颇具 代表 性 , 即 “ 最 小 的 权限 + 最 少 的 服务 = 最 大 的 安全 ” 因此 ， 
在 进行 系统 设置 时 ， 要 始终 设置 用 户 所 能 允许 的 最 小 目录 和 文件 的 访问 权限 ， 还 要 关闭 服 
务 器 上 不 必要 的 服务 及 端口 。 

(1) NTFS 系统 权限 设置 

在 使 用 之 前 ， 使 每 个 硬盘 的 Administrators 用 户 拥 有 全 部 权限 (可 选 加 入 system 用 户 ) 
并 删除 其 他 用 户 , 同时 设置 系统 盘 的 权限 如 下 : C:\Windows 目录 下 的 Administrators system 
用 户 拥有 全 部 权限 ，Users 用 户 默认 权限 不 作 修 改 ; 其 他 目录 ， 删 除 Everyone 用 户 。 值 得 
提醒 的 是 ，C:\Documents and Settings 下 的 All Users 和 Default User 目录 的 默认 配置 是 保留 了 
Everyone 用 户 权 限 的 。C:\Windows 目录 下 面 的 权限 也 要 注意 , 例如 ，C:\Windows\pchealth、 
Ci\Windows\Installer 也 是 保留 了 Everyone 权限 的 。 

删除 C:\Windows\web\printers 目录 ， 此 目录 的 存在 会 造成 IS 中 加 入 一 个 .printers 的 扩 
展 名 ,可 被 用 作 滋 出 攻击 。 默 认 IS 错误 页 面 已 基本 上 很 少 有 人 使 用 了 , 建议 删除 CA\Windows 
\Help\ISHelp 目录 。 删 除 CN\Windows\system32\inetsrwiisadmpwd， 此 目录 通常 用 于 管理 IIS 
密码 。 

修改 以 下 可 执行 文件 的 访问 权限 : net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、 
at.exe、 attrib.exe、 cacls.exe、 format.com、 regsvr32.exe、 xcopy.exe、 wscript.exe、 cscript.exe、 


ftp.exe、 telnet.exe、 arp.exe、 edlin.exe、 ping.exe、 route.exe、 finger.exe、posix.exe、rsh.exe、 
atsvc.exe、qbasic.exe、runonce.exe、syskey.exe。 删 除 所 有 的 用 户 ， 只 保存 Administrators 组 
和 System 组 为 所 有 权限 。 

(2) 删除 默认 共享 、ipc$ 空 连接 ， 禁 用 不 用 端口 

删除 Windows 的 默认 共享 ， 可 以 提高 系统 的 安全 性 。 删 除 本 地 共享 的 步骤 为 : 在 “ 运 
行 ? 对话 框 中 输入 “cmd”, 按 Enter 键 , 在 打开 的 命令 行 窗口 中 输入 “net share admin$/delete 
net share cq$/delete”， 逐 个 删除 。 

删除 ipc$ 空 连接 的 步骤 为 : 在 “运行 ”对 话 框 中 输入 “regedit”， 按 Enter 键 ， 打 开 注 
册 表 编辑 器 ， 在 注册 表 中 找到 HKEYLOCAL MACHINE\SYSTEMNCurrentControlSet 
ControNLSA 项 里 数值 名 称 RestrictAnonymous 的 数值 数据 ， 由 0 改 为 1。 

为 了 进一步 增加 服务 器 系统 的 安全 ， 应 当 把 不 用 的 端口 一 律 关闭 ， 只 开放 提供 服务 所 

必需 的 端口 。 配 置 的 方法 是 设置 Internet 协议 “TCP/IP〉 的 属性 ， 启 用 TCP/IP 筛选 ， 只 多 
许 开放 服务 器 提供 网 络 服务 所 必需 的 TCP 端口 。 
139 端口 是 NetBIOS 协议 所 使 用 的 端口 ,在 安装 了 TCP/IP 协议 的 同时 ，NetBIOS 也 会 
被 作为 默认 设置 安装 到 系统 中 。 因 为 139 端口 具有 ipc 和 RPC 漏洞 ， 它 的 开放 意味 着 硬盘 
可 能 会 在 网 络 中 共享 ， 网 上 攻击 者 可 能 会 利用 这 一 漏洞 掌握 用 户 计算 机 的 详细 情况 ， 所 以 
需要 将 其 关闭 。 具 体 方法 是 : 网 络 和 拨号 连接 一 本 地 连接 一 Internet 协议 (TCP/IP) 属 性 一 
高 级 TCP/IP 设置 一 WINS 设置 ， 选 择 禁用 TCP/IP 的 NetBIOS， 禁 止 RPC 漏洞 。 
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(3) 服务 最 小 化 

在 Windows NT 上 默认 运行 的 服务 有 很 多 ， 但 是 大 部 分 服务 基本 上 是 闲置 不 用 的 ， 却 
徒然 增加 了 对 系统 的 威胁 。 在 Windows Server 2003 中 ， 有 一 些 不 必要 的 服务 已 被 禁用 〔( 例 
如 , DDE 服务 等 ), 但 是 仍然 有 一 些 不 必要 的 危险 服务 (例如 , Remote Registry 服务 、SNMP 
服务 等 ) 在 运行 ， 这 些 服务 常常 被 攻击 者 利用 。 入 侵 者 通过 对 目标 服务 器 进行 扫描 ， 即 可 
得 到 服务 器 上 运行 的 服务 类 型 等 信息 ， 进 而 找 出 服务 器 系统 的 安全 漏洞 。 因 此 ， 对 于 那些 
没有 实际 意义 的 服务 ， 应 将 其 及 时 关闭 。 尤 其 是 一 些 具有 威胁 性 的 服务 ， 如 Computer 
Browse、Distributed File System、 Messenger、Remote Registry、TCP/IP Net-BIOS Helper、 
Telnet 等 ， 在 安全 性 要 求 较 高 的 服务 器 上 ， 强 烈 建议 将 它们 禁用 。 

5 系统 监控 策略 

尽管 不 断 地 在 对 系统 进行 修补 ， 但 由 于 软件 系统 的 复杂 性 ， 新 的 安全 漏洞 总 会 层 出 
不 穷 。 

因此 ， 除 了 对 安全 漏洞 进行 修补 之 外 ， 还 要 对 系统 的 运行 状态 进行 实时 监控 ， 以 便 及 
时 发 现 利 用 各 种 漏洞 的 入 侵 行 为 。 

(1) 启用 系统 审核 机 制 。 系 统 审核 机 制 可 以 对 系统 中 的 各 类 事件 进行 跟踪 记录 并 写 入 
日 志文 件 ， 以 供 管理 员 进 行 分 析 、 查 找 系统 和 应 用 程序 故障 以 及 各 类 安全 事件 。 为 了 不 影 
响 系 统 性 能 ， 默 认 的 安全 策略 并 不 对 安全 事件 进行 审核 ， 对 于 关键 的 应 用 服务 器 和 文件 服 
务 器 来 说 ， 应 启用 所 有 的 安全 策略 来 发 现 黑客 的 入 侵 和 入 侵 后 的 行为 。 

(2) 日 志 监 视 。 日 志 功 能 在 某 种 程度 上 来 说 是 入 侵 检 测 的 得 力 帮手 。 在 启用 安全 审核 
策略 后 ， 管 理 员 应 经 常 查看 安全 日 志 的 记录 ， 否 则 就 失去 了 及 时 补救 和 防御 的 时 机 。 除 了 
安全 日 志 外 ， 管 理 员 还 要 注意 检查 各 种 服务 或 应 用 的 日 志文 件 。 应 在 本 地 安全 策略 中 设置 
如 下 审核 策略 :账户 管理 操作 成 功 及 失败 时 记录 事件 ， 登 录 操作 成 功 及 失败 时 记录 事件 ; 
对 象 访问 操作 失败 时 记录 事件 ， 策 略 更 改 操作 成 功 及 失败 时 记录 事件 ;特权 使 用 操作 失败 
时 记录 事件 ， 系 统 事件 操作 成 功 及 失败 时 记录 事件 ， 目 录 服 务 访问 操作 失败 时 记录 事件 ; 
账户 登录 操作 成 功 及 失败 时 记录 事件 。 

(3) 监视 开放 的 端口 和 连接 。 对 日 志 的 监视 只 能 发 现 已 经 发 生 的 入 侵 事 件 ， 对 于 正在 
进行 的 入 侵 和 破坏 行为 就 无 能 为 力 了 。 这 时 ， 就 需要 管理 员 掌握 一 些 基本 的 实时 监视 技术 
来 应 对 。 通 常 黑客 或 病毒 入 侵 系 统 后， 会 在 其 中 留 下 木马 类 后 门 ， 同时 ， 它 和 外 界 的 通信 
会 建立 一 个 Socket 会 话 连接 。 此 时 利用 netstat 命令 进行 会 话 状态 的 检查 ， 就 可 以 查看 已 经 
打开 的 端口 和 已 经 建立 的 连接 。 当 然 ， 也 可 以 采用 一 些 专用 的 检测 程序 对 端口 和 连接 进行 
检测 。 


(4) 监视 共享 。 如 果 防 范 不 严 ， 最 简单 的 入 侵 方法 就 是 利用 系统 隐 含 的 管理 共享 。 因 
此 ， 只 要 黑客 能 够 扫描 到 IP 和 用 户 密码 ， 就 可 以 使 用 net use 命令 连接 到 共享 上 。 另 外 ， 
当 浏 览 到 含有 恶意 脚本 的 网 页 时 ， 计 算 机 的 硬盘 也 可 能 被 共享 。 因此， 监测 本 机 的 共享 连 
接 是 非常 重要 的 。 
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6， 改 进 登 录 服务 器 


将 系统 的 登录 服务 器 移 到 一 个 单独 的 机 器 中 ， 会 提高 系统 的 安全 级 别 ， 使 用 一 个 更 安 
全 的 登录 服务 器 取代 Windows 自身 的 登录 工具 ， 也 可 以 进一步 增强 安全 性 。 在 一 个 比较 大 
的 Windows 网 络 中 ， 最 好 建立 一 个 域 或 者 多 个 域 ， 使 用 域 服务 器 来 统一 管理 系统 登录 。 这 
个 域 服务 器 必须 能 够 满足 所 有 系统 登录 需求 并 且 拥 有 足够 的 磁盘 空间 。 在 这 个 系统 上 ， 建 
议 不 要 运行 其 他 服务 。 使 用 域 服务 器 管理 用 户 ， 有 利于 削弱 入 侵 者 通过 登录 系统 修改 日 志 
文件 的 能 力 。 

7. 正确 使 用 登录 脚本 

通过 活动 目录 中 的 组 策略 制定 系统 策略 和 用 户 登录 脚本 ， 可 以 对 网 络 用 户 的 行为 进行 
适当 的 限制 。 利 用 组 策略 编辑 器 为 用 户 指定 登录 脚本 ， 可 以 为 用 户 设 定 工作 环境 ， 控 制 用 
户 在 桌面 上 进行 的 操作 、 执 行 的 程序 以 及 登录 时 间 和 地 点 等 。 

8. 应 用 系统 的 安全 

在 Windows NT 上 运行 的 应 用 系统 ， 应 及 时 通过 各 种 途径 获得 补丁 程序 ， 以 解决 其 安 
全 问题 ; 应 将 IIS 中 的 sample、scripts、iisadmin 和 msadc 等 Web 目录 设置 为 禁止 匿名 访问 
并 限制 他 地址 ; 将 FTP、Telnet 的 TCP 端口 改 为 非 标准 端口 ，Web 目录 、CGI 目录 、scripts 
目录 和 WinNT 目录 只 允许 管理 员 完 全 控制 ; 凡是 涉及 到 访问 与 系统 有 关 的 重要 文件 , 除 系 
统管 理 员 账号 Administrator 外 ， 其 他 账号 均 应 设置 为 只 读 权限 。 

9. 及 时 备份 

为 了 防止 系统 在 使 用 的 过 程 中 发 生意 外 情况 而 影响 正常 运行 ， 应 该 对 Windows 完好 的 
系统 进行 备份 ， 最 好 是 在 完成 Windows 系统 的 安装 任务 后 就 对 整个 系统 进行 备份 ， 以 后 可 
以 根据 这 个 备份 来 验证 系统 的 完整 性 ， 这 样 就 可 以 发 现 系统 文件 是 否 被 非法 修改 过 。 


3.3.5 ”Windows NT 的 数据 保护 


1. 使 用 NTFS 文件 系统 保护 数据 


Windows NT 文件 系统 在 NTFS 分 区 上 可 以 利用 NTFS 权限 和 文件 加 密 提 高 数据 安全 性 
和 数据 存储 有 效 性 ， 利 用 数据 压缩 和 磁盘 配额 提高 磁盘 空间 的 利用 率 。 所 以 强烈 建议 在 
Windows NT 系统 中 对 磁盘 格式 化 时 ， 采 用 NTFS 分 区 。 

在 NTFS 分 区 上 的 每 一 个 文件 和 文件 夹 都 有 一 个 列表 ， 即 访问 控制 列表 ACL。 该 列表 
记录 了 每 一 用 户 和 组 对 该 资源 的 访问 权限 。 在 Windows NT 的 NTFS 权限 下 ， 用 户 必须 获 
得 明确 的 授权 才能 访问 相应 的 文件 和 文件 夹 。NTFS 权限 分 为 标准 NTFS 权限 和 特殊 NTFS 
权限 。 


(1) 标准 NTFS 权限 
对 于 文件 ， 标 准 NTFS 权限 分 别 为 读 取 、 写 入 、 读 取 和 和 运行、 修改 、 完 全 控制 。 
@ 读 取 : 此 权限 可 以 读 取 文 件 内 的 数据 ， 查 看 文件 的 属性 、 所 有 者 、 文 件 的 权限 等 。 
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@ 写 入 : 此 权限 可 以 将 文件 覆盖 、 改 变 文件 属性 、 查 看 文件 的 所 有 者 、 查 看 文件 的 权 
限 等 ， 但 是 不 能 直接 更 改 文件 内 的 数据 。 

图 读 取 和 运行 : 除了 “ 读 取 ”的 所 有 权限 外 ， 还 可 以 运行 应 用 程序 。 

@ 修改 : 除了 “ 读 取 ” 和 “ 读 取 及 运行 ”的 所 有 权限 外 ， 还 具有 写 入 的 权限 ， 可 以 更 
改 文 件数 据 、 删 除 文件 、 改 变 文件 名 等 。 

@@ 完全 控制 : 拥有 所 有 NTFS 权限 ， 如 可 以 修改 权限 、 取 得 所 有 权 等 。 

对 于 文件 夹 ， 标 准 NTFS 权限 分 别 为 读 取 、 写 入 、 列 出 文件 夹 目录 、 读 取 和 运行 、 修 
改 、 完 全 控制 。 

@ 读 取 : 此 权限 可 以 查看 该 文件 夹 内 的 文件 和 子 文件 夹 名 称 ， 查 看 文件 夹 的 属性 、 所 
有 者 、 文 件 夹 的 权限 等 。 

@ 写 入 : 此 权限 可 以 在 文件 夹 内 添加 文件 和 文件 夹 、 改 变 文件 夹 属性 、 查 看 文件 夹 的 
所 有 者 、 查 看 文件 夹 的 权限 等 。 

图 列 出 文件 夹 目录 : 此 权限 除了 拥有 “ 读 取 ” 的 所 有 权限 外 , 还 具有 “遍历 子 文件 夹 ” 
的 权限 ， 但 不 能 在 此 文件 夹 下 写 入 (不 能 创建 新 对 象 )。 该 权限 只 能 被 文件 夹 继承 ， 而 不 能 
被 文件 继承 。 

@ 读 取 和 运行 : 拥有 读 取 的 所 有 权限 ， 同 时 可 以 运行 文件 夹 下 的 可 执行 文件 。 和 “ 列 
出 文件 夹 目 录 ” 的 权限 一 样 ， 只 是 在 权限 的 继承 方面 有 所 不 同 ,“ 列 出 文件 夹 目 录 ” 权 限 只 
能 由 文件 夹 来 继承 ， 而 “ 读 取 和 运行 ”权限 可 由 文件 夹 和 文件 同时 继承 。 

@ 修改 : 除了 “ 读 取 和 运行 ”和 “ 列 出 文件 夹 目录 ”的 所 有 权限 外 ， 还 具有 写 入 的 权 
限 。 可 以 添加 和 删除 子 文件 夹 、 文 件 ， 改 变 子 文件 夹 名 等 。 

@ 完全 控制 : 拥有 所 有 NTFS 权限 ， 如 可 以 修改 权限 、 取 得 所 有 权 等 。 

(2) 特殊 NTFS 权限 

特殊 NTFS 权限 包含 了 在 各 种 情况 下 对 资源 的 访问 权限 ， 其 规定 约束 了 用 户 访问 资源 
的 所 有 行为 。 对 于 特殊 的 NTFS 权限 ， 只 需 了 解 其 中 两 个 使 用 比较 频繁 的 权限 一 一 “更 改 
权限 ”和 “取得 所 有 权 ” 即 可 ， 其 他 的 权限 大 多 是 组 合 标准 NTFS 权限 在 使 用 。 

(3) NTFS 权限 的 继承 性 

NTFS 权限 具有 继承 性 ， 默 认 情 况 下 ， 授 予 父 文件 夹 的 权限 将 被 包含 在 该 父 文件 夹 下 
的 子 文件 夹 或 文件 所 继承 。 也 可 以 说 ， 文 件 或 文件 夹 默认 继承 分 区 或 父 文 件 夹 的 权限 ， 并 
且 继承 来 的 权限 不 能 直接 设置 和 修改 。 

同一 个 NTFS 分 区 内 或 不 同 NTFS 分 区 之 间 移 动 或 复制 一 个 文件 或 文件 夹 时 ， 该 文件 
或 文件 夹 的 NTFS 权限 会 发 生 不 同 的 变化 。 在 同一 个 NTFS 分 区 内 复制 文件 或 文件 夹 时 ， 
复制 文件 和 文件 夹 将 继承 目的 位 置 中 的 文件 夹 的 权限 ， 在 不 同 NTFS 分 区 之 间 复 制 文件 或 
文件 夹 时 ， 复 制 文件 和 文件 夹 将 继承 目的 位 置 中 的 文件 夹 的 权限 ; 在 同一 个 NTFS 分 区 内 
移动 文件 或 文件 夹 时 ， 文 件 和 文件 夹 仍然 保留 在 原 位 置 的 一 切 NTFS 权限 ; 在 不 同 NTFS 
分 区 之 间 移 动 文件 或 文件 夹 时 ， 文 件 和 文件 夹 会 继承 目的 分 区 中 文件 夹 的 权限 。 

(4) NTFS 权限 的 使 用 法 则 

个 用 户 可 能 属于 多 个 组 ， 而 这 些 组 又 有 可 能 被 某 种 资源 赋予 了 不 同 的 访问 权限 ， 另 


第 3 章 网 络 操作 系统 安全 和 


外 的 用 户 或 组 可 能 会 对 某 个 文件 夹 和 该 文件 夹 下 的 文件 有 不 同 的 访问 权限 ,在 这 种 情况 下 ， 
就 必须 通过 NTFS 权限 法 则 来 判断 到 底 用 户 对 资源 有 何 种 访问 权限 。 

Q@ 权限 累加 法 则 。 当 一 个 用 户 同时 属于 多 个 组 ， 而 这 些 组 又 有 可 能 被 某 种 资源 赋予 了 
不 同 的 访问 权限 时 ， 则 用 户 对 该 资源 的 最 终 有 效 权限 是 在 这 些 组 中 最 宽松 的 权限 ， 即 累加 
权限 ， 将 所 有 的 权限 加 在 一 起 即 为 该 用 户 的 权限 。 
@ 文件 权限 超越 文件 夹 权限 法 则 。 当 用 户 或 组 对 某 个 文件 夹 以 及 该 文件 夹 下 的 文件 有 
不 同 的 访问 权限 时 ， 用 户 对 文件 的 最 终 权限 是 用 户 被 赋予 访问 该 文件 的 权限 ， 即 文件 权限 
超越 其 上 级 一 一 文件 夹 的 权限 ， 用 户 访问 该 文件 夹 下 的 文件 不 受 文件 夹 权 限 的 限制 ， 而 只 
受 被 赋予 文件 权限 的 限制 。 

@ 拒绝 权限 超越 所 有 其 他 权限 法 则 。 当 用 户 对 某 个 资源 有 拒绝 权限 时 ,该 权限 覆盖 其 
他 任何 权限 ， 即 在 访问 该 资源 的 时 候 只 有 拒绝 权限 是 有 效 的 。 


2. 通过 文件 加 密 系统 来 提高 数据 安全 性 


EFS 加 密 系统 只 能 在 NTFS 分 区 上 实现 ， 其 加 密 是 利用 文件 加 密 密 钥 来 实现 的 。 文 件 
加 密 过 程 中 将 把 文件 加 密 密 钥 存储 在 文件 头 标 中 ， 与 被 加 密 的 文件 形成 一 个 整体 ， 因 此 当 
被 加 密 的 文件 被 移动 到 同一 个 磁盘 分 区 的 其 他 未 加 密 文 件 夹 中 的 时 候 , 文件 依然 保持 加 密 。 
EFS 用 户 如 果 是 加 密 者 本 人 ， 系 统 会 在 用 户 访问 这 些 文件 和 文件 夹 时 将 其 自动 解密 ， 用 户 
完全 不 用 参与 。 

在 Windows NT 中 ， 每 一 个 用 户 都 有 一 个 安全 标识 符 〈Security Identifier，SID)， 用 以 
区 分 各 自 的 身份 。 每 个 人 的 SID 都 是 不 相同 的 ， 即 是 有 唯一 性 。 可 以 这 样 理 解 : 把 SID 想 
象 成 人 的 指纹 ， 虽 然 世界 上 已 经 有 几 十 亿 人 《同名 同姓 的 也 有 很 多 )， 可 是 理论 上 还 没有 哪 
两 个 人 的 指纹 是 完全 相同 的 。 因 此 ， 这 具有 唯一 性 的 SID 就 保证 了 EFS 加 密 的 绝对 安全 和 
可 靠 。 因 为 理论 上 没有 SID 相同 的 用 户 ， 因 而 用 户 的 密 钥 也 就 绝对 不 会 相同 。 在 第 一 次 加 
密 资料 的 时 候 ， 操 作 系统 就 会 根据 加 密 者 的 SID 产生 该 用 户 的 密 钥 ， 并 把 公 铀 和 私 钥 分 开 
存储 起 来 ， 供 用 户 加 密 和 解密 资料 。 

EFS 机 制 在 设计 时 就 考虑 到 了 多 种 突 发 情况 的 产生 ， 因 此 在 EFS 加 密 系统 中 ， 还 有 恢 
复 代理 这 一 概念 。 例 如 ， 公 司 财务 部 门 的 一 个 员工 加 密 了 财务 报表 ， 某 天 这 位 员工 离职 了 。 
出 于 账户 管理 的 目的 ， 安 全 管理 员 通 常会 直接 删除 这 位 员工 的 账户 。 直 到 有 一 天 要 用 到 这 
位 员工 的 财务 报表 时 ， 才 发 现 报 表 经 过 了 加 密 ， 而 用 户 账户 已 经 删除 ， 这 些 文 件 就 无 法 打 
开 了 。 人 恢复 代理 的 存在 ， 就 是 为 了 解决 这 个 问题 。 因 为 被 EFS 加 密 过 的 文件 ， 除 了 加 密 者 
本 人 之 外 还 有 恢复 代理 可 以 访问 。 对 于 Windows 来 说 ， 在 单机 和 工作 组 环境 下 ， 预 设 的 恢 
复 代理 是 Administrator; 而 在 域 环境 中 ， 预 设 的 恢复 代理 是 域 管理 员 。 

制作 备份 密 钥 ， 可 以 避免 因 密 钥 丢失 而 无 法 访问 文件 的 问题 。 在 “运行 ”对 话 框 中 输 
入 “certmgrmsc”， 然 后 按 Enter 键 ， 打 开 证 书 管理 器 。 密 钥 的 导入 和 导出 的 工作 都 将 在 这 
里 进行 。 在 当前 用 户 一 个 人 一 证 书 路 径 下 ， 可 以 看 到 一 个 以 本 用 户 名 命名 的 证 书 〈 如 果 之 
前 没有 加 密 过 任何 资料 ， 这 里 是 不 会 有 证 书 的 )。 右 击 这 个 证 书 ， 选 择 “ 导 出 ”命令 。 之 后 
会 打开 证 书 导出 向 导 ， 通 过 此 向 导 就 可 以 导出 用 户 的 证 书 。 导 出 的 证 书 是 一 个 以 pfx 为 扩 
展 名 的 文件 。 
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在 需要 导入 证 书 时 , 选择 之 前 导出 的 以 pfx 为 扩展 名 的 文件 , 单 击 鼠 标 右键 , 选择 “ 安 
装 PEX” 命 令 ， 就 可 以 打开 证 书 导 入 向 导 。 按 照 向 导 的 提示 完成 操作 ， 那 么 之 前 用 该 密 钥 
加 密 过 的 资料 就 可 以 正常 开启 了 。 

3. 使 用 磁盘 阵列 来 保护 数据 安全 


系统 容错 技术 可 使 计算 机 网 络 系统 在 发 生 故 障 时 ， 保 证 系统 仍 能 正常 运行 ， 继 续 完成 
预定 的 工作 。Windows NT 网 络 系统 的 系统 容错 是 建立 在 标准 化 的 独立 磁盘 元 余 阵 列 
(CRAID ) 基础 上 的 , 它 采 用 软件 解决 方案 , 提供 了 3 种 RAID 容错 手段 一 一 RAID0、RAID1 
和 RAID5。 

(1) 带 区 集 (RAID0) 

带 区 集 是 将 多 个 磁盘 上 的 可 用 空间 组 合成 一 个 大 的 逻辑 卷 ， 数 据 将 按 系 统 规定 的 数据 
段 为 单位 依次 写 入 不 同 的 磁盘 上 。 虽 然 RAID0 是 顺序 传送 的 ， 但 多 个 读 / 写 操作 可 以 相互 
重合 进行 ， 因 此 RAID0 可 提供 较 好 的 磁盘 读 写 性 能 ， 但 不 提供 任何 容错 功能 。 

(2) 镜像 集 (RAID1) 

镜像 集 由 主 磁盘 和 副 磁 盘 两 个 磁盘 组 成 。 所 有 写 入 主 磁盘 的 数据 也 同时 写 入 副 磁 盘 ， 
如 果 主 磁盘 发 生 故障 ， 则 系统 使 用 副 磁盘 中 的 数据 。RAID1 通过 两 个 磁盘 互 为 备份 ， 来 
提供 数据 保护 。RAID1 主要 用 于 提供 存储 数据 的 可 靠 性 ， 但 必须 以 较 大 的 磁盘 空间 宛 余 为 
代价 。 

(3) 带 奇 偶 校 验 的 带 区 集 (RAID5) 

在 带 奇 偶 校 验 的 带 区 集中 ， 阵 列 内 所 有 磁盘 的 大 块 数据 呈 带 状 分 布 ， 数 据 和 奇偶 校 验 
信息 将 存放 在 磁盘 阵列 中 不 同 的 磁盘 上 ， 以 提高 数据 读 写 的 可 靠 性 。RAID5 具有 较 好 的 数 
据 读 取 性 能 ， 但 写 入 性 能 较 差 ， 通 常 需要 消耗 3 倍 读 取 操作 的 时 间 ， 因 为 写 入 操作 时 要 进 
行 奇 偶 校 验 计算 。 因 此 ，RAID5 主要 用 于 以 读 取 操 作为 主 的 应 用 系统 。 

4. 数据 的 备份 和 还 原 

数据 备份 的 目的 就 是 为 了 成 功 地 还 原 丢失 和 被 破坏 的 数据 。 养 成 良好 的 数据 备份 习惯 
是 一 名 合格 的 网 络 工程 师 应 该 具备 的 基本 素质 .Windows NT 中 提供 了 一 个 专门 的 工具 
“备份 ”来 完成 数据 的 备份 和 还 原 工作 。 不 过 备份 和 还 原 数据 并 非 人 人 适用 ， 用 户 必 须 拥 
有 相应 的 系统 权限 才 可 以 。 

用 户 可 以 备份 自己 的 文件 和 文件 夹 ， 也 可 以 备份 有 具 有“ 读 取 ”权限 的 文件 和 文件 夹 。 
所 有 用 户 都 可 以 还 原 具 有 “ 写 入 ”权限 的 文件 和 文件 夹 ; Administrators 组 、Backup Operators 
组 和 Server Operators 组 的 成 员 可 以 备份 和 还 原 所 有 文件 和 文件 夹 。 

通常 的 备份 操作 可 能 会 由 普通 用 户 来 完成 ， 因 此 出 于 安全 性 的 考虑 ， 需 要 将 这 些 用 户 
加 入 到 Backup Operators 组 中 而 不 是 将 其 加 入 到 Administrators 组 或 Server Operators 组 中 ， 
因为 这 些 组 具有 更 多 其 他 的 权限 。 

(1) 数据 备份 的 类 型 

在 介绍 备份 类 型 之 前 有 一 个 概念 需要 知道 ， 这 就 是 文件 的 “存档 ”属性 。 文 件 的 “ 存 
档 ” 属 性 对 于 数据 备份 有 着 非常 重要 的 意义 。 在 备份 一 个 文件 时 ， 为 了 提高 效率 和 节省 时 
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间 ， 应 当 只 备份 改动 过 的 数据 ， 对 于 没有 改动 的 数据 不 进行 备份 ， 这 样 的 效率 是 最 高 的 ， 
而 所 花费 时 间 是 最 少 的 。 文 件 的 “存档 ”属性 恰好 可 以 达到 这 个 目的 。 因 为 任何 一 个 新 建 
的 文件 ， 系 统 都 会 自动 为 其 添加 一 个 “存档 ”属性 ， 当 使 用 备份 程序 备份 这 个 文件 之 后 ， 
系统 会 自动 将 “存档 ”属性 清除 以 表示 该 文件 已 经 被 备份 过 了 。 当 该 文件 被 改动 之 后 ， 系 
统 又 会 自动 为 其 添加 上 “存档 ”属性 ， 在 下 一 次 备份 时 ， 备 份 程序 就 会 备份 该 文件 。 如 果 
某 种 备份 类 型 不 清除 “存档 ”属性 ， 则 在 下 次 备份 时 还 要 备份 该 数据 。 

在 Windows Server 2003 中 备份 程序 提供 了 5 种 备份 类 型 : 正常 、 副 本 、 差 异 、 增 量 和 
日 备份 。 下 面具 体 介 绍 这 5 种 备份 类 型 的 特点 。 

@ 正常 (Normal): 提供 最 完整 的 备份 ， 将 所 有 选 定 的 文件 和 文件 夹 进 行 备份 。 该 备 
份 花 费 的 时 间 是 最 长 的 ， 但 在 恢复 时 是 最 容易 的 。 

@ 副本 (Copy): 备份 所 有 选择 的 文件 和 文件 夹 ， 但 是 不 清除 文件 的 “存档 ”属性 。 

@ 差异 (Differential): 在 选 定 的 文件 和 文件 夹 中 ,只 备份 从 上 次 备份 之 后 发 生 改 动 过 
的 数据 且 不 清除 文件 的 “存档 ”属性 。 

@ 增 量 (Increamental): 在 选 定 的 文件 和 文件 夹 中 ， 只 备份 从 上 次 备份 之 后 发 生 改动 
过 的 数据 ， 但 是 在 备份 操作 完成 之 后 会 清除 “存档 ”属性 。 

@@ 日 备份 (Daily): 只 备份 当天 有 过 改动 的 文件 ， 即 使 是 儿 天 前 更 改过 的 文件 有 “ 存 
档 ” 属 性 也 不 备份 。 该 备份 类 型 不 清除 “存档 ”属性 。 

(2) 数据 还 原 

数据 还 原 就 是 当 系统 出 现 故 障 而 丢失 数据 时 将 数据 恢复 到 原来 的 状态 ， 这 是 一 个 备份 
的 逆向 过 程 。 


3.4 ”UNIX/Linux 操作 系统 安全 


在 安全 结构 上 ，Linux 与 UNIX 基本 上 是 相似 的 ， 它 们 都 具有 以 下 安全 特征 。 
1. 访问 控制 
系统 通过 访问 控制 表 ACL， 使 用 户 可 以 自行 改变 文件 的 安全 级 别 和 访问 权限 。 系 统管 


理 员 可 用 umask 命令 为 每 个 用 户 设置 默认 的 权限 值 , 用 户 也 可 以 通过 chmod 命令 来 修改 自 
己 拥有 的 文件 或 目录 权限 。 


2. 对 象 的 可 用 性 
当 一 个 对 象 不 再 使 用 时 ， 在 它 回 到 自由 对 象 之 前 ， 系 统 将 会 清除 它 ， 以 备 下 次 需要 时 
使 用 。 
3. 身份 标识 与 认证 
UNIX/Linux 系统 为 了 确定 用 户 的 真实 身份 ， 在 用 户 登 录 时 采用 扩展 的 DES 算法 对 输 
入 的 口令 进行 加 密 ， 然 后 把 口令 的 密 文 与 存放 在 /etc/passwd 中 的 数据 进行 比较 ， 如 果 二 者 
的 值 完全 相同 ， 则 允许 用 户 登 录 到 系统 中 ， 否 则 将 禁止 用 户 的 登录 。 
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4. 审计 记录 

UNIX/Linux 系统 能 够 对 很 多 事件 进行 记录 , 例如 文件 的 创建 和 修改 以 及 系统 管理 的 所 
有 操作 和 其 他 有 关 的 安全 事件 (例如 ， 登 录 失 败 ， 以 root 身份 进行 登录 的 情况 等 )。 通 过 这 
些 记 录 ， 系 统管 理 员 就 可 以 对 安全 问题 进行 跟踪 。 


5 操作 的 可 靠 性 


操作 的 可 靠 性 是 指 UNIX/Linux 系统 用 于 保证 系统 完整 性 的 能 力 。UNIX/Linux 系统 通 
过 对 用 户 的 分 级 管理 、 运 行 级 别 的 划分 ， 以 及 访问 控制 机 制 加 上 自 带 的 一 些 工 具 ， 能 够 很 
好 地 保证 系统 操作 的 可 靠 性 。 


3.4.1 超级 用 户 安 全 管理 


root 用 户 在 UNIX/Linux 系统 中 具有 无 限 的 权力 ， 可 以 进行 任何 操作 。root 用 户 可 以 进 
行 如 下 具有 潜在 危险 的 操作 : 

(1) 添加 、 删 除 或 者 更 改 所 有 其 他 用 户 的 账户 。 

(2) 读 写 所 有 文件 ， 以 及 创建 新 文件 。 

(3) 添加 /删除 系统 中 的 设备 。 

(4) 安装 新 的 系统 软件 。 

(5) 读 取 任何 人 的 电子 邮件 。 

(6) 在 局 域 网 中 探测 网 络 通信 ， 获 取 其 他 系统 的 用 户 名 和 密码 。 

(7) 更 改 系统 中 所 有 的 日 志 ， 删 除 所 有 超级 用 户 访问 的 记录 。 

(8) 冒充 非特 权 用 户 ， 访 问 他 们 在 其 他 需要 验证 登录 访问 的 系统 中 的 账户 。 

这 些 权 力 混合 起 来 ， 使 得 root 账户 听 起 来 很 危险 。 不 过 ， 这 其 中 许多 操作 是 合理 合法 
的 ， 并且 是 每 天 必要 的 系统 管理 例 行 工作 。 例 如 ， 探 测 网 络 通信 情况 可 以 确定 在 什么 地 方 
产生 了 网 络 拥塞 。 不 过 ， 如 果 一 个 入 侵 者 获取 到 root 权限 ， 情 况 就 大 不 妙 了 。 他 可 以 在 系 
统 中 为 所 欲 为 ， 如 删除 或 者 窃取 数据 ， 删 除 或 添加 用 户 账户 ， 或 者 安装 特洛伊 木马， 从 而 
透明 地 更 改 系统 工作 的 方式 。 使 用 su 命令 获取 了 root 权限 ，root 用 户 就 可 以 使 用 su 命令 
变 为 系统 中 任何 其 他 用 户 ， 并 启动 具有 有 效 ID 的 Shell。 这 是 一 个 安全 漏洞 : root 用 户 可 
以 冒充 其 他 用 户 对 数据 进行 操作 和 更 改 ; 对 这 些 操作 进行 跟踪 ,最 终 只 能 跟踪 到 有 效用 户 ， 
而 不 是 root。 

一 种 比较 有 效 的 防止 授权 用 户 获 取 root 权限 的 方法 ,是 使 用 一 个 难以 猜测 的 root 密码 。 
最 佳 的 密码 是 完全 随机 的 字母 、 数 字 和 标点 符号 组 合 而 成 的 字符 串 。 不 要 写 下 root 用 户 的 
密码 ， 也 不 要 把 密码 告诉 其 他 的 用 户 。 


3.4.2 ”用 户 账 户 安全 管理 


每 个 账户 都 是 具有 不 同 用 户 名 、 不 同 口令 和 不 同 访问 权限 的 一 个 单独 实体 ， 用 户 也 就 
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有 权 授 予 或 拒绝 任何 用 户 、 用 户 组 和 所 有 用 户 的 访问 。 用 户 可 以 生成 自己 的 文件 ， 安 装 自 
己 的 程序 等 。 为 了 确保 次 序 ， 系 统 会 分 配 好 用 户 目 录 ， 每 个 用 户 都 会 得 到 一 个 主 目录 和 一 
块 硬盘 空间 ， 并 与 其 他 用 户 占 用 的 区 域 分 割 开 来 。 这 种 做 法 可 以 防止 一 般 用 户 的 活动 影响 
其 他 文件 系统 ， 进 而 系统 还 为 每 个 用 户 提供 一 定 程度 的 保密 。 作 为 根 可 以 控制 哪些 用 户 能 
够 进行 访问 以 及 他 们 可 以 将 文件 存放 的 位 置 ， 控 制 用 户 能 够 访问 哪些 资源 以 及 如 何 进行 访 
问 等 。 用 户 登录 到 系统 中 时 ， 需 输入 用 户 名 标识 其 身份 。 当 该 用 户 的 账户 创建 时 ， 系 统管 
理 员 便 为 其 分 配 一 个 唯一 的 标识 号 一 一 UID。 系 统 中 的 /etc/Passwd 文件 含有 全 部 系统 需要 
知道 的 关于 每 个 用 户 的 信息 (加 密 后 的 口令 也 可 能 存 于 /etc/shadow 文件 中 )。/etc/Passwd 中 
包含 有 用 户 的 登录 名 、 经 过 加 密 的 口令 、 用 户 号 、 用 户 组 号 、 用 户 注释 、 用 户主 目录 和 用 
户 所 用 的 Shell 程序 。 其 中 用 户 号 UID 和 用 户 组 号 GID 用 于 UNIX 系统 唯一 地 标识 用 户 和 
同 组 用 户 及 用 户 的 访问 权限 。 系 统 中 ， 超 级 用 户 root 的 UID 为 0。 每 个 用 户 可 以 属于 一 个 
或 多 个 用 户 组 ， 每 个 组 由 GID 唯一 标识 。 

在 大 型 的 分 布 式 系统 中 ， 为 了 统一 对 用 户 进行 管理 ， 通 常 将 每 一 台 工 作 站 上 的 口令 文 
件 信息 存在 网 络 服务 器 上 。 目 前 流行 的 系统 有 : SUM 公司 的 网 络 信息 系统 NIS; Sun 公司 
的 NIS+; 开放 软件 基金 会 的 分 布 式 计算 机 环境 DCE。 


3.4.3 ”用户 口令 安全 管理 


用 户 名 是 个 标识 ， 用 于 告诉 计算 机 该 用 户 是 谁 ， 而 口令 是 个 确认 证 据 ， 用 户 登录 系统 
时 ， 便 需要 输入 口令 来 鉴别 用 户 身 份 。 当 用 户 输入 口令 时 ，UNIX/Linux 使 用 改进 的 DES 
算法 〈 通 过 调用 eryPt0 函数 实现 ) 对 其 进行 加 密 ， 并 将 结果 与 存储 在 /etc/passwd 或 NIS 数 
据 库 中 的 加 密 用 户口 令 进 行 比较 。 若 二 者 匹配 ， 则 说 明 该 用 户 的 登录 合法 ;和 否则 拒绝 用 户 
登录 。 为 防止 口令 被 非 授 权 用 户 盗用 ， 对 其 设置 应 以 复杂 、 不 可 猜测 为 标准 。 一 个 好 的 口 
令 应 当 至少 有 8 个 字符 长 度 。 不 要 取 用 个 人 信息 ， 普 通 的 英语 单词 也 不 好 (因为 可 用 字典 
攻击 法 )。 口 令 中 最 好 有 一 些 非 字母 〈 例 如 ， 数 字 、 标 点 符号 、 控 制 字符 等 )。 用 户 应 定期 
改变 口令 。 通 常 口令 以 加 密 的 形式 表示 。 由 于 /etc/passwd 文件 对 任何 用 户 可 读 ， 故 常 成 为 
口令 攻击 的 目标 。 所 以 系统 中 常用 shadow 文件 (/etcjshadow) 来 存储 加 密 口令 ， 并 使 其 对 
普通 用 户 不 可 读 。 


3.4.4 文件 和 目录 的 安全 


UNIX/Linux 文件 系统 可 控制 文件 和 目录 中 的 信息 以 何 种 方式 存储 在 磁盘 及 其 他 辅助 
存储 介质 上 、 每 个 用 户 可 以 访问 何 种 信息 及 如 何 访问 。 其 具体 表现 形式 为 一 组 存 取 控 制 规 
则 ， 可 以 据 此 确定 一 个 主体 是 否 可 以 存 取 一 个 指定 客体 。UNIX/Linux 的 存 取 控制 机 制 通过 
文件 系统 实现 。 

文件 的 权限 是 UNIX/Linux 系统 安全 的 第 一 道 防线 。UNIX/Linux 权限 的 基本 类 型 有 读 、 
写 和 执行 ， 每 种 权限 的 具体 解释 如 表 3-2 所 示 。 
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表 3-2 UNIX/Linux 基本 权限 的 解释 


应 用 于 任何 其 他 类 型 的 文件 
授予 查看 文件 的 权限 

授予 写 入 的 权限 ， 允 许 一 个 经 过 授权 的 实体 修 
改 交 件 

允许 用 户 运 行程 序 

无 权限 


授予 读 取 目 录 或 子 目录 内 容 的 权限 
授予 创建 、 修 改 或 删除 文件 或 子 目录 的 权限 


执行 (x) | 授予 进入 目录 的 权限 
无 权限 


读 (7) 


写 (w) 


每 个 文件 的 权限 都 是 用 左 起 第 2 一 10 个 字符 来 记录 ， 第 1 个 字符 表示 文件 类 型 。 权 限 
分 成 3 组 ， 每 组 有 3 个 字符 ， 组 中 的 每 个 位 置 对 应 一 个 指定 的 权限 ， 其 顺序 为 读 、 写 、 执 
行 。 前 3 个 字符 (2 一 4) 表 示 文 件 所 有 者 的 权限 (本 例 中 是 student); 第 2 组 的 3 个 字符 (5 一 
7) 表示 文件 所 属 组 的 权限 示例 中 为 staff); 最 后 一 组 的 3 个 字符 〈8 一 10) 表示 其 他 任何 
人 的 权限 。 

下 面 是 ls-1 命令 的 输出 示例 ， 其 中 包括 一 个 文件 和 一 个 目录 。 

$1s-1/home/student 

-TWXI-XT-- 1 student staff 1024 oct 2 00: 10 testfile 

Drwxr-xr-- 1 student staff 1024 oct 2 00: 10 testdir 

根据 前 面 所 讲 的 原则 ， 在 该 例 中 testfile 的 权限 为 : 文件 的 所 有 者 〈student) 对 文件 具 
有 读 取 、 写 入 和 执行 的 权限 ; 该 文件 所 属 的 组 〈staff) 中 的 用 户 可 以 读 取 和 执行 该 文件 ， 
没有 对 文件 写 入 的 权限 ， 有 效 登 录 到 系统 的 其 他 用 户 只 能 读 取 该 文件 。 

要 修改 文件 或 目录 权限 ， 可 以 使 用 chmod (change mode) 命令 。 文 件 权 限 的 第 一 个 集 
合 〈1s-1 命令 输出 的 第 2 一 4 个 字符 ) 用 字母 u 来 表示 , 代表 用 户 ; 第 二 个 集合 (字符 5 一 7) 
用 g 来 表示 ,代表 组 ; 最 后 一 个 集合 (字符 8 一 10) 用 o 来 表示 ,代表 其 他 任何 人 (其 他 )。 
此 外 ， 还 可 以 使 用 -a 选项 同时 对 所 有 3 个 组 进行 授权 或 者 删除 其 权限 。 

借助 于 表 3-3 中 的 操作 符 ， 可 以 利用 符号 权限 来 添加 、 删 除 或 指定 权限 集合 。 示 例文 
件 testfilel 的 原始 权限 为 rwxrwxr-- 


表 3-3 Chmod 操作 符 


Chmod 操作 符 含义 示 例 结 果 
为 一 个 文件 或 目录 添加 指定 的 为 testfilel 文件 的 其 他 用 户 添 加 
十 Chmod o+x testfilel 


权限 执行 权限 

从 一 个 文件 或 目录 中 删除 指定 Beni 删除 文件 所 有 者 执行 testfilel 的 
的 权限 权限 

为 组 设置 testfilel 的 读 取 权限 ， 


不 能 写 入 和 执行 


= 设置 指定 的 权限 Chmod g=r-- testfilel 


3.4.5 关于 SUID 程序 


有 时 没有 被 授权 的 用 户 需要 完成 某 些 要 求 授权 的 任务 , 例如 passwd 程序 。 对 于 普通 用 
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户 ， 系 统 允 许 他 改变 自身 的 口令 ， 但 不 能 拥有 直接 访问 /etc/passwd 文件 的 权限 ， 以 防止 他 
改变 其 他 用 户 的 口令 。 为 了 解决 这 个 问题 ，UNIX 允许 对 可 执行 的 目标 文件 (只 有 可 执行 
文件 才 有 意义 ) 设置 SUID (Set User ID) 或 SGID (Set Group ID )。 

当 一 个 进程 在 执行 时 ， 就 被 赋予 4 个 编号 〈 分 别 为 实际 和 有 效 的 UID、 实 际 和 有 效 的 
GID)， 以 标识 该 进程 隶属 于 谁 。 有 效 的 UID 和 GID 一 般 和 实际 的 UID 和 GID 相同 ， 用 于 
系统 确定 该 进程 对 于 文件 的 存 取 许 可 。 而 设置 可 执行 文件 的 SUID 许可 ， 将 改变 上 述 情况 。 
当 设置 了 SUID 时 , 进程 的 有 效 UID 为 该 可 执行 文件 的 所 有 者 的 有 效 UID 而 不 是 执行 该 程 
序 的 用 户 的 有 效 UID。 因 此 ， 执 行 该 程序 的 用 户 拥 有 与 该 程序 所 有 者 相同 的 存 取 许 可 。 这 
样 ， 程 序 的 所 有 者 即 可 通过 程序 的 权限 控制 ， 在 有 限 的 范围 内 向 用 户 发 表 不 允许 被 公众 访 
问 的 信息 。 同 样 ，SGID 也 是 设置 有 效 GID。 用 “chmod urs 文件 名 ”和 “chmod u-s 文 
件 名 ”来 设置 和 取消 SUID 设置 , 用 “chmod g+s 文件 名 ”和 “chmod g-s” 文 件 名 来 设置 
和 取消 SGID 设置 。 


小 结 


网 络 操作 系统 NOS 是 向 网 络 计算 机 提供 网 络 通信 和 网 络 资源 共享 功能 的 操作 系统 。 它 
是 负责 管理 整个 网 络 资源 和 方便 网 络 用 户 的 软件 集合 ， 是 整个 网 络 的 灵魂 。 

操作 系统 安全 是 指 该 系统 能 够 控制 外 部 对 系统 信息 的 访问 ， 即 只 有 经 过 授权 的 用 户 或 
进程 才能 对 信息 资源 进行 相应 的 读 、 写 、 创 建 和 删除 等 操作 ， 以 保护 合法 用 户 对 授权 资源 
的 正常 使 用 ， 防 止 非法 入 侵 者 对 系统 资源 的 侵占 和 破坏 。 

访问 控制 是 操作 系统 中 最 有 效 、 最 直接 的 安全 措施 ， 是 操作 系统 安全 机 制 的 关键 。 访 
问 控制 是 在 身份 认证 的 基础 上 ， 根 据 用 户 身份 对 提出 的 资源 访问 请 求 加 以 控制 ， 是 针对 越 
权 使 用 资源 的 现象 进行 防御 的 措施 。 访 问 控制 按照 其 不 同 的 实现 方法 ， 可 以 分 为 自主 访 
问 控制 、 强 制 访问 控制 、 基 于 角色 的 访问 控制 、 基 于 任务 的 访问 控制 和 基于 对 象 的 访问 控 
制 等 。 

具体 的 访问 控制 措施 有 : 入 网 访问 控制 、 资 源 访 问 控制 、 网 络 服务 器 安全 控制 、 网 络 
端口 和 节点 的 安全 控制 、 网 络 监 测 、 锁 定 控制 以 及 防火 墙 控制 。 

Windows NT 是 Microsoft 推出 的 面向 工作 站 、 网 络 服务 器 和 大 型 计算 机 的 网 络 操作 系 
统 ， 也 可 用 作 PC 机 操作 系统 。Windows NT 提供 了 两 个 微软 管理 界面 MMC 的 插件 作为 安 
全 性 配置 工具 ， 即 安全 性 模板 和 安全 性 配置 分 析 。 安 全 性 模板 提供 了 针对 10 多 种 角色 (从 
基本 工作 站 、 基 本 服务 器 一 直到 高 度 安全 性 的 域 控制 器 ) 的 计算 机 管理 模板 。 

Windows NT 采用 的 安全 技术 有 活动 目录 和 域 、Kerberos 验证 协议 、 加 密 文件 系统 EFS 
和 Windows IP Security 安全 性 支持 等 。 

Windows NT 的 安全 管理 措施 包括 物理 安全 、 安 装 策略 、 用 户 账户 策略 、 系 统 权 限 与 
安全 配置 、 系 统 监控 策略 、 改 进 登录 服务 器 、 正 确 使 用 登录 脚本 、 应 用 系统 的 安全 和 及 时 
备份 。 
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Windows NT 的 数据 保护 方法 有 使 用 NTFS 文件 系统 保护 数据 、 通 过 文件 加 密 系统 来 提 


高 数据 安全 性 、 使 用 磁盘 阵列 来 保护 数据 安全 、 数 据 的 备份 和 还 原 。 
在 安全 结构 上 , Linux 与 UNIX 基本 上 是 相似 的 , 它们 都 具有 访问 控制 、 对 象 的 可 用 性 、 
身份 标识 与 认证 、 审 计 记 录 和 操作 的 可 靠 性 等 安全 特征 。 


Toot 


户 在 UNIX/Linux 系统 中 具有 无 限 的 权力 ， 可 以 进行 任何 操作 。 防 止 授权 用 户 


获取 root 权限 的 一 种 方法 是 使 用 一 个 难以 猜测 的 root 密码 。 最 佳 的 密码 是 完全 随机 的 字 
母 、 数 字 和 标点 符号 组 合 而 成 的 字符 串 。 不 要 写 下 root 用 户 的 密码 ， 也 不 要 把 密码 告诉 其 


他 用 户 
由 


于 每 个 账户 都 是 具有 不 同 用 户 名 、 不 同 口令 和 不 同 访问 权限 的 一 个 单独 实体 ， 用 户 


也 就 有 权 授 予 或 拒绝 任何 用 户 、 用 户 组 和 所 有 用 户 的 访问 。 当 用 户 输入 口令 时 , UNIX/Linux 
使 用 改进 的 DES 算法 对 其 加 密 。UNIX/Linux 文件 系统 控制 文件 和 目录 中 的 信息 以 何 种 方 


式 存储 在 磁盘 及 其 他 辅助 存储 介质 上 ， 并 控制 每 个 用 户 可 以 访问 何 种 信息 及 如 何 访问 。 


Eo 


一 
US D9 es 


练习 与 思考 


什么 是 网 络 操作 系统 ? 


.常见 的 网 络 操作 系统 有 哪 几 种 ? 


操作 系统 安全 的 含义 是 什么 ? 
什么 是 基于 角色 的 访问 控制 ? 
什么 是 基于 任务 的 访问 控制 ? 
什么 是 基于 对 象 的 访问 控制 ? 
Windows NT 系统 采用 了 哪些 安全 技术 ? 


查阅 资料 ， 根 据 实际 应 用 设计 Windows Server 2003 系统 的 安全 配置 方案 。 


在 NTFS 文件 系统 中 ， 文 件 访问 权限 的 使 用 法 则 是 什么 ? 


. Windows Server 2003 的 5 种 数据 备份 类 型 及 其 特点 是 什么 ? 
. UNIX/Linux 操作 系统 的 安全 特征 是 什么 ? 

.解释 -rwxr-rw- 的 含义 。 

.UNIX/Linux 操作 系统 账户 的 安全 管理 应 该 注意 哪些 问题 ? 


数据 库 与 数据 安全 


本 章 学 习 要 求 : 

(1) 掌握 数据 库 系统 的 安全 性 要 求 、 故 障 类 型 、 基 本 安全 架构 和 安全 特性 。 
(2) 掌握 数据 库 的 各 种 安全 机 制 和 数据 库 安 全 的 保护 措施 。 

(3) 掌握 数据 库 的 备份 与 恢复 方法 。 

(4) 掌握 SQL Server 数据 库 的 安全 保护 方法 、 策 略 。 

(5) 了 解 攻击 数据 库 的 常用 方法 。 

(6) 了 解 Web 数据 库 的 安全 。 


(1) 重点 : 掌握 数据 库 系统 的 安全 性 要 求 、 故 障 类 型 、 基 本 安全 架构 和 安全 特性 。 
(2) 难点 :掌握 数据 库 的 各 种 安全 机 制 和 数据 库 安全 的 保护 措施 。 


随 着 数据 信息 计算 机 网 络 化 的 飞速 发 展 ， 数 据 库 在 各 个 领域 都 得 到 了 广泛 的 应 用 ， 越 
来 越 多 的 部 门 和 机 构 依赖 于 计算 机 网 络 传输 、 存 储 数据 信息 ， 但 随 之 而 来 数据 的 安全 问题 
变 得 日 益 突出 。 各 种 系统 的 数据 库 中 大 量 数据 的 安全 问题 、 敏 感 数 据 的 防 窃取 和 防 自 改 问 
题 ， 越 来 越 引起 人 们 的 高 度 重视 。 数 据 库 系 统 作 为 信息 的 聚集 体 ， 是 计算 机 信息 系统 的 核 
心 部 件 ， 其 安全 性 至 关 重要 ， 关 系 到 企业 兴衰 、 国 家 安全 。 因 此 ， 如 何 有 效 地 保证 数据 库 
系统 的 安全 ， 实 现 数据 存储 或 传输 的 保密 性 、 完 整 性 和 有 效 性 ， 已 经 成 为 业界 人 士 探索 研 
究 的 重要 课题 之 一 。 


4.1 数据 库 安全 概述 


20 世纪 70 年 代 初 ， 美 国 军 方 率先 发 起 对 多 级 安全 数据 库 管理 系统 (Multilevel Secure 
Database Management System，MLS DBMS) 的 研究 ， 此 后 一 系列 数据 库 安全 模型 被 提出 。 
20 世纪 80 年 代 ， 美 国 国防 部 根据 军用 计算 机 系统 的 安全 需要 ， 制 定 了 《可 信 计 算 机 
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系统 安全 评估 标准 》(Trusted Computer System Evaluation Criteria，TCSEC )， 以 及 该 标准 的 
可 信 数 据 库 系统 的 解释 〈Trusted Database Interpretation，TDI)， 从 而 形成 了 最 早 的 信息 安 
全 及 数据 库 安全 评估 体系 。TCSEC/TDI 将 系统 安全 性 分 为 4 组 7 个 等 级 ， 依 次 是 D (最 小 
保护 )、C1l (自主 安全 保护 )、C2( 受 控 存 取保 护 )、B1 (标记 安全 保护 )、B2 结构 化 保 
护 )、B3〈 安 全域 和 A 验证 设计 )， 按 系统 可 靠 或 可 信 程度 逐 渐 增 高 。 

20 世纪 90 年 代 后 期 , 《信息 技 术 安全 评价 通用 准则 》(Common Criteria，CC) 被 ISO 
接受 为 国际 标准 ， 确 立 了 现代 信息 安全 标准 的 框架 ， 为 安全 数据 库 系 统 的 研究 及 其 应 用 系 
统 的 开发 提供 了 指引 。 

在 安全 数据 库 需 求 及 信息 安全 标准 的 推动 下 ， 国 外 各 大 主流 数据 库 厂商 相继 推出 了 各 
自 的 安全 数据 库 产 品 ， 例 如 Sybase 公司 的 Secure SQL Server、Oracle 公司 的 Trusted Oracle 
7 和 Informix 公司 的 Informix-online/Secure 5.0 等 。 近 几 年 来 ，Oracle 公司 的 Oracle 9i 和 
Oracle 10g 从 用 户 认证 、 访 问 控制 、 加 密 存储 和 审计 策略 等 方面 进一步 加 强 了 安全 控制 
功能 。 

我 国 从 20 世纪 80 年 代 开 始 着 手 进行 数据 库 技术 的 研究 和 开发 ， 而 安全 数据 库 理 论 的 
研究 和 实际 系统 的 研制 也 于 90 年 代 初 陆续 展开 。2001 年 ， 我 国 军 方 提 出 了 第 一 个 数据 库 
安全 标准 《军用 数据 库 安 全 评估 准则 》。2002 年 ， 公 安 部 发 布 了 公安 部 行业 标准 

《计算 机 信息 系统 安全 等 级 保护 /数据 库 管理 系统 技术 要 求 》(GA/T 389 一 2002)。 

20 世纪 90 年 代 以 来 ， 华 中 科技 大 学 、 中 国人 民 大 学 和 东北 大 学 等 单位 纷纷 对 数据 库 
安全 技术 研究 和 实践 ， 并 相继 开发 出 了 相应 的 安全 数据 库 软 件 ， 例 如 基本 达到 Bl 级 安全 
要 求 的 DM3 数据 库 、COBASE (KingBase) 数据 库 2.0 可 信 版 本 及 OpenBase Secure 等 。 
2003 年 ， 中 科 院 信息 安全 国家 重点 实验 室 基于 开放 源 代码 的 数据 库 管 理 系 统 Postgre SQL 
开发 出 安全 数据 库 系统 LOIS。 

总 体 来 说 ， 与 国外 主流 数据 库 产品 相 比 ， 我 国 的 研究 成 果 在 安全 性 和 可 用 性 上 还 有 一 
定 的 差距 。 根 据 2004 年 底 的 统计 ， 几 大 国外 数据 库 管理 系统 在 国内 的 市 场 占有 率 达 到 
959%， 而 国产 数据 库 仅 占 到 大 约 3.5%， 其 他 开发 的 产品 大 约 占 1.5%。 国 外 的 数据 库 产品 不 
提供 源 程序 代码 ， 也 很 少 有 可 供 公 开 调 用 的 内 核 接口 ， 从 而 加 大 了 自主 安全 保护 的 技术 难 
度 ; 加 之 发 达 国 家 限制 C2 级 以 上 安全 级 别 的 信息 技术 与 产品 对 我 国 的 出 口 ， 所 以 研究 开 
发 拥有 自主 知识 产权 的 数据 库 安全 控制 技术 具有 非常 重要 的 现实 意义 ， 任 重 而 道 远 。 


4.1.1 数据 库 安 全 的 概念 


数据 库 安全 是 指 为 存放 数据 的 数据 库 系 统制 定 、 实 施 相 应 的 安全 保护 措施 ， 以 保护 数 
据 库 中 的 数据 不 因 偶然 或 恶意 的 原因 而 遭 到 破坏 、 更 改 和 泄露 。 目 前 ， 数 据 库 安全 与 网 络 
安全 、 操 作 系统 安全 及 协议 安全 一 起 构成 了 信息 系统 安全 的 4 个 最 主要 的 研究 领域 。 数 据 
库 安全 主要 包括 系统 运行 安全 和 系统 信息 安全 两 层 含义 。 

1. 系统 运行 安全 

系统 运行 安全 包括 : 法 律 、 政 策 的 保护 ， 例 如 用 户 是 否 有 合法 权限 、 政 策 是 否 允 许 等 ; 
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物理 控制 安全 ， 例 如 机 房 是 否 加 锁 等 ， 硬 件 运行 安全 ; 操作 系统 安全 ， 例 如 数据 文件 是 否 
受 保护 等 ， 灾害、 故障 恢复 ， 死 锁 的 避免 和 解除 ， 防 止 电磁 信 息 泄漏 。 

2. 系统 信息 安全 

系统 信息 安全 包括 : 用 户口 令 鉴别 ， 用户 存 取 权 限 控制 ， 数 据 存 取 方 式 控制 ;审计 跟 
踪 ; 数据 加 密 。 


4.1.2 数据 库 管 理 系 统 及 其 特性 


数据 、 数 据 库 、 数 据 库 管理 系统 和 数据 库 系统 是 与 数据 库 技术 密切 相关 的 4 个 基本 概念 。 
1. 数据 库 系 统 简 介 


(1) 数据 库 系统 的 组 成 : 数据 库 系统 分 成 西部 分 ， 一 部 分 是 数据 库 ， 按 一 定 的 方式 存 
取 数据 ， 另 一 部 分 是 数据 库 管 理 系统 ， 为 用 户 及 应 用 程序 提供 数据 访问， 并 具有 对 数据 库 
进行 管理 、 维 护 等 多 种 功能 。 

(2) 数据 库 : 若干 数据 的 集合 体 。 数据库 要 由 数据 库 管理 系统 进行 科学 的 组 织 和 管理 ， 
以 确保 数据 库 的 安全 性 和 完整 性 。 

(3) 数据 库 管理 系统 ， 对 数据 库 进行 管理 的 软件 系统 ， 为 用 户 或 应 用 程序 提供 了 访问 
数据 库 中 的 数据 和 对 数据 的 安全 性 、 完 整 性 、 保 密 性 、 并 发 性 等 进行 统一 控制 的 方法 。 

(4) 数据 库 系统 , 以 数据 库 方式 管理 大 量 共享 数据 的 计算 机 系统 , 一 般 简 称 为 数据 库 。 
数据 库 系统 是 由 外 模式 、 模 式 和 内 模式 组 成 的 多 级 系统 结构 。 作 为 管理 大 量 的 、 持 久 的 、 
可 靠 的 、 共 享 的 数据 工具 ， 数 据 库 系统 通常 由 数据 库 、 数 据 库 管理 系统 、 硬 件 和 软件 支持 
系统 以 及 用 户 4 个 部 分 构成 。 

2， 数据 库 管理 系统 的 功能 

数据 库 管理 系统 (DBMS)》 的 基本 功能 是 定义 数据 库 ， 进 行 数据 的 存 取 ， 实 现 基本 的 
数据 管理 和 维护 等 功能 。 

5 数据 库 定义 ， 定 义 外 模式 、 模 式 、 内 模式 、 数 据 库 完整 性 、 安 全 保密 、 存 取 路 
径 等 。 
(2) 数据 存 取 ， 提 供 数据 的 操纵 语言 ， 以 便 对 数据 进行 查找 和 更 新 。 

(3) 数据 库 运 行 管理 :事务 管理 、 自 动 恢复 、 并 发 控制 、 死 锁 检 测 或 防止 、 安 全 性 检 
查 、 存 取 控制 、 完 整 性 检查 、 日 志 记录 等 。 

(4) 数据 组 织 、 存 储 和 管理 :数据 字典 、 用 户 数 据 、 存 取 路 径 的 组 织 存储 和 管理 ， 以 
便 提高 存储 空间 利用 率 ， 并 方便 存 取 。 

(5) 数据 库 的 建立 和 维护 数据 转换 、 数 据 库 新 建 、 转 备 、 恢 复 、 重 组 、 重 构 以 及 性 
能 检测 等 。 

(6) 网 络 通信 、 数 据 转 换 、 异 构 数据 库 互 访 等 。 
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3. 数据 库 管理 系统 的 特性 


(1) 数据 的 安全 性 

数据 的 安全 主要 是 保证 数据 存储 处 的 安全 和 数据 在 访问 或 传输 过 程 中 不 被 窃取 或 恶意 
破坏 ， 因 此 需要 对 数据 进行 一 些 安全 控制 ， 如 将 数据 加 密 ， 以 密码 的 形式 存 于 数据 库 内 ， 
并 将 数据 库 中 需要 保护 的 部 分 与 其 他 部 分 隔离 ， 使 用 授权 规则 鉴别 用 户 身 份 ， 阻 止 非法 主 
体 的 访问 等 。 

(2) 数据 的 结构 化 

在 文件 系统 中 ， 文 件 内 部 的 数据 一 般 是 有 结构 的 ， 但 文件 之 间 不 存在 联系 ， 因 此 从 数 
据 的 整体 来 说 是 没有 结构 的 。 数 据 库 系统 虽然 也 常常 分 成 许多 单独 的 文件 ， 并 且 文 件 内 部 
也 具有 完整 的 数据 结构 ， 但 是 它 更 注重 同一 数据 库 中 各 文件 之 间 的 相互 联系 ， 故 特别 能 适 
应 大 量 数据 管理 的 客观 需要 。 

(3) 数据 共享 

共享 是 数据 库 系 统 的 目的 ， 也 是 其 重要 特点 。 一 个 数据 库 中 的 数据 ， 不 仅 可 以 为 同一 
企业 或 组 织 内 部 的 各 部 门 共享 ， 还 可 以 为 不 同 组 织 、 地 区 甚至 不 同 国家 的 用 户 所 共享 。 

(4) 数据 独立 性 

在 文件 系统 中 ， 数 据 结构 和 应 用 程序 是 相互 依赖 的 ， 任 何 一 方 的 改变 总 是 要 影响 另 一 
方 的 改变 。 在 数据 库 系统 中 ， 这 种 相互 依赖 性 是 很 小 的 ， 数 据 和 程序 具有 相对 的 独立 性 。 

(5) 可 控 宛 余 度 

在 文件 系统 中 ， 由 于 每 个 应 用 都 拥有 并 使 用 自己 的 数据 ， 各 文件 中 难免 有 许多 数据 相 
互 重复 ， 产 生 了 元 余 。 数 据 库 系统 是 面 对 整 个 系统 的 数据 共享 而 建立 的 ， 各 个 应 用 的 数据 
集中 存储 、 共 同 使 用 ， 因 而 尽 可 能 地 避免 了 数据 的 重复 存储 ， 减 少 了 数据 的 宛 余 。 


4.1.3 数据库 管理 系统 的 缺陷 和 威胁 


随 着 计算 机 技术 的 飞速 发 展 , 数据 库 在 各 个 领域 都 得 到 广泛 的 应 用 ,在 为 人 们 的 工作 、 
学 习 带 来 便利 的 同时 ， 其 安全 问题 也 变 得 日 益 突出 。 数 据 库 中 存储 的 信息 越 来 越 有 价值 ， 
一 旦 这 些 信息 暴露 ， 其 后 果 不 堪 设想 。 因 此 ， 各 种 应 用 系统 的 数据 库 中 大 量 数据 的 安全 问 
题 、 敏 感 数据 的 防 窃 取 和 防 自 改 问题 ， 越 来 越 引起 人 们 的 高 度 重 视 。 


1. 数据 库 管 理 系统 的 缺陷 


目前 市 场 上 流行 的 关系 型 数据 库 管理 系统 的 安全 性 较 差 ， 从 而 导致 数据 库 系统 的 安全 
性 存在 一 定 的 威胁 。 常 见 数据 库 的 安全 漏洞 和 缺陷 有 : 

(1) 数据 库 应 用 程序 通常 都 同 操作 系统 的 最 高 管理 员 密 切 相 关 。 

(2) 人 们 对 数据 库 安全 的 忽视 。 

(3) 部 分 数据 库 机 制 威胁 网 络 低层 安全 。 

(4) 安全 特性 缺陷 。 

(5) 数据 库 账号 、 密 码 容易 泄漏 。 

(6) 操作 系统 后 门 。 
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(7) 木马 的 威胁 。 
2. 数据 库 管理 系统 受到 的 威胁 


发 现 威胁 数据 库 安 全 的 因素 和 采取 相应 的 措施 是 解决 数据 库 安全 问题 的 两 个 方面 ， 二 
者 缺 一 不 可 。 数 据 库 管 理 系统 的 威胁 主要 有 算 改 、 损 坏 和 窃取 等 。 

(1) 算 改 

算 改 是 指 对 数据 库 中 的 数据 未 经 授权 地 进行 修改 ， 使 其 失去 原来 的 真实 性 。 算 改 是 一 
种 人 为 的 主动 攻击 ， 进 行 这 种 人 为 攻击 的 原因 可 能 是 个 人 利益 驱动 、 隐 藏 证 据 、 恶 作 剧 或 
无 知 。 

(2) 损坏 

损坏 的 表现 为 数据 库 中 的 数据 表 和 整个 数据 库 部 分 或 全 部 被 删除 、 移 走 或 破坏 。 产 生 
损坏 的 原因 主要 有 人 为 破坏 、 恶 作 剧 和 病毒 。 

(3) 窃取 

窃取 一 般 只 针对 敏感 数据 ， 被 窃取 的 数据 可 能 具有 很 高 的 价值 ， 窃 取 的 手法 可 能 是 将 
数据 复制 到 可 移动 的 介质 上 带 走 或 把 数据 打印 后 取 走 ， 窃 取 数 据 的 对 象 一般 是 内 部 员工 和 
军事 及 工商 业 间 谍 等 。 

3. 数据 库 系 统 威胁 的 来 源 

数据 库 安 全 的 威胁 主要 来 自 以 下 几 个 方面 : 

(1) 物理 和 环境 的 因素 。 

(2) 事务 内 部 故障 。 

(3) 系统 故障 。 

(4) 人 为 破坏 。 

(5) 介质 故障 。 

(6) 并 发 事件 。 

(7) 病毒 与 黑客 。 


4.2 ”数据 库 的 安全 特性 


从 本 质 上 讲 ， 数 据 库 安全 依赖 于 数据 库 系统 的 访问 控制 一 是 控制 物理 访问 ， 二 是 通 
过 DBMS 控制 访问 )。 所 有 DBMS 都 包含 安全 保护 系统 , 数据 库 保护 主要 包括 数据 独立 性 、 
数据 安全 性 、 数 据 的 完整 性 、 并 发 控制 和 故障 恢复 。 


4.2.1 数据 库 的 安全 特性 


1. 数据 库 的 安全 性 
数据 库 的 安全 性 从 字面 上 理解 含义 很 广 ， 诸 如 防火 、 防 盗 、 防 震 、 防 掉 电 等 ， 这 些 措 
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施 对 于 数据 库 的 安全 固然 重要 ， 但 本 章 所 讨论 的 安全 性 是 指 在 数据 库 管理 系统 的 控制 之 下 
保护 数据 ， 以 防止 不 合法 的 使 用 而 造成 的 数据 泄漏 、 更 改 和 破坏 。 

引发 数据 库 安 全 性 问题 的 因素 主要 有 以 下 几 种 : 

(1) 政策 问题 。 例 如 ， 拥 有 系统 的 企业 内 部 确定 数据 存 取 原 则 ， 只 允许 指定 用 户 存 取 
指定 数据 。 

(2) 法 律 、 社 会 和 伦理 问题 。 例 如 ， 请 求 者 是 否 拥有 对 所 请 求 信息 的 合法 权限 。 

(3) 硬件 控制 。 例 如 ，CPU 是 否 具备 安全 性 方面 的 特性 。 

(4) 物理 控制 。 例 如 ， 计 算 机 或 终端 所 在 房间 是 否 上 锁 或 受到 保护 。 

(5) 操作 系统 支持 。 例 如 ， 底 层 操 作 系 统 在 退出 后 是 否 抹 去 了 主 存 储 器 和 磁盘 上 文件 
的 内 容 。 

(6) 可 操作 性 问题 。 若 某 个 密码 方案 被 采用 ， 则 密码 自身 的 安全 性 如 何 保证 。 
(7) 数据 库 系 统 本 身 的 安全 性 问题 。 

2. 数据 库 的 安全 机 制 

数据 库 的 安全 机 制 是 用 于 实现 数据 库 的 各 种 安全 策略 的 功能 集合 ， 正 是 由 这 些 安 全 机 
制 来 实现 安全 模型 ， 进 而 实现 保护 数据 库 系 统 安全 的 目标 。 近 年 来 ， 对 用 户 的 认证 与 鉴别 、 
存 取 控制 、 数 据 库 加 密 及 推理 控制 等 安全 机 制 的 研究 取得 了 不 少 新 的 进展 。 

(1) 用 户 标识 与 鉴别 

数据 库 系 统 不 允许 一 个 未 经 授权 的 用 户 对 数据 库 进行 操作 。 用 户 标识 和 鉴别 是 系统 提 
供 的 最 外 层 的 安全 保护 措施 。 在 数据 库 管 理 系 统 中 注册 时 ， 每 个 用 户 都 有 一 个 用 户 标识 符 。 
但 一 般 来 说 ， 用 户 标识 符 仅 是 用 户 公开 的 标识 ， 尚 不 足以 成 为 鉴别 用 户 身份 的 凭证 。 为 了 
鉴别 用 户 身份 ， 一 般 采 用 以 下 几 种 方法 : 

@ 利用 只 有 用 户 知道 的 信息 鉴别 用 户 。 

@ 利用 只 有 用 户 具有 的 物品 鉴别 用 户 。 

@ 利用 用 户 的 个 人 特征 鉴别 用 户 。 

(2) 存 取 控制 

存 取 控制 是 对 用 户 的 身份 进行 识别 和 鉴别 ， 对 用 户 利用 资源 的 权限 和 范围 进行 核查 ， 是 
数据 保护 的 前 沿 屏障 。 它 可 以 分 为 身份 认证 、 存 取 权 限 控制 、 数 据 库存 取 控 制 等 儿 个 层次 。 

Q 身份 认证 。 身 份 认 证 的 目的 是 确定 系统 和 网 络 的 访问 者 是 否 是 合法 用 户 。 主 要 采用 
密码 、 代 表 用 户 身份 的 物品 〈 例 如 磁卡 、IC 卡 等 ) 或 反映 用 户 生理 特征 的 标识 〈 例 如 指纹 、 
手掌 纹理 、 语 音 、 视 网 膜 扫描 等 ) 鉴别 访问 者 的 身份 。 

@ 存 取 权限 控制 。 存 取 权 限 控制 的 目的 是 防止 合法 用 户 越权 访问 系统 和 网 络 资源 ， 即 
确定 用 户 对 哪些 资源 (例如 CPU、 内 存 、IO 设备 程序 、 文 件 等 ) 享有 使 用 权 以 及 可 进行 
何 种 类 型 的 访问 操作 (例如 读 、 写 、 运 行 等 )。 为 此 ， 系 统 要 赋予 用 户 不 同 的 权限 ,例如 普 
通用 户 或 有 特殊 授权 的 计算 机 终端 或 工作 站 用 户 、 超 级 用 户 、 系 统管 理 员 等 ， 用 户 的 权限 
等 级 是 在 注册 时 赋予 的 。 

@ 数据 库存 取 控 制 。 对 数据 库 信息 按 存 取 属 性 划分 的 授权 有 : 允许 或 禁止 运行 ， 允 许 
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或 禁止 阅读 、 检 索 ， 人 允许 或 禁止 写 入 ， 人 允许 或 禁止 修改 ， 人 允许 或 禁止 清除 等 。 
3. 授权 和 角色 


(1) 授权 

DBMS 提供 了 功能 强大 的 授权 机 制 ， 可 以 给 用 户 授予 各 种 不 同 对 象 〈 表 、 视 图 、 存 储 
过 程 等 ) 的 不 同 使 用 权限 〈 例 如 Select、update、insert、delete 等 )。 
用 户 级 别 可 以 授予 的 数据 库 模 式 和 数据 操纵 方面 的 权限 有 : 创建 和 删除 索引 、 创 建新 
关系 、 添 加 或 删除 关系 中 的 属性 、 删 除 关 系 、 查 询 数据 、 插 入 新 数据 、 修 改 数据 、 删 除数 
据 等 。 

在 数据 库 对 象 级 别 上 ， 可 将 上 述 访问 权限 应 用 于 数据 库 、 基 本 表 、 视 图 和 列 等 。 

(2) 角色 

如 果 要 给 成 千 上 万 个 雇员 分 配 许 可 ， 将 面临 很 大 的 管理 难题 ， 如 每 次 有 雇员 到 来 或 者 
离开 时 ， 就 得 有 人 分 配 或 去 除 可 能 与 数 百 张 表 或 视图 有 关 的 权限 ， 劳 心 费力 不 说 ， 还 容易 
出 错 。 一 个 相对 简单 有 效 的 解决 方法 就 是 定义 数据 库 角 色 。 数 据 库 角色 是 被 命名 的 一 组 与 
数据 库 操作 相关 的 权限 ， 即 一 组 相关 权限 的 集合 。 可 以 为 一 组 具有 相同 权限 的 用 户 创建 一 
个 角色 。 使 用 角色 来 管理 数据 库 权 限 ， 可 以 简化 授权 的 过 程 。 


4. 视图 机 制 


几乎 所 有 的 DBMS 都 提供 视图 机 制 。 视 图 不 同 于 基本 表 ， 它 不 存储 实际 数据 。 当 用 户 
通过 视图 访问 数据 时 ， 是 从 基本 表 中 获得 数据 。 视 图 提供 了 一 种 灵活 而 简单 的 方法 ， 以 个 
人 化 方式 授予 访问 权限 ， 能 够 起 到 很 好 的 安全 保护 作用 。 在 授予 用 户 对 特定 视图 的 访问 权 
限时 ， 该 权限 只 用 于 在 该 视图 中 定义 的 数据 项 ， 而 不 是 用 于 视图 对 应 的 完整 基本 表 。 

5. 审计 

对 数据 库 管 理 员 (DBA) 而 言 ， 审 计 就 是 记录 数据 库 中 正在 做 什么 的 过 程 。 审 计 记录 
可 以 告诉 DBA 某 个 用 户 正在 使 用 哪些 系统 权限 ， 使 用 频率 是 多 少 ， 多 少 用 户 正在 登录 , 会 
话 平均 持续 多 长 时 间 ， 正 在 特殊 表 上 使 用 哪些 命令 ， 以 及 其 他 有 关 事实 。 

审计 一 般 可 以 分 为 用 户 级 审计 和 系统 级 审计 两 级 。 任 何 用 户 均 可 设置 用 户 级 审计 ， 主 
要 是 针对 自己 创建 的 数据 库 或 视图 进行 审计 ， 记 录 所 有 用 户 对 这 些 表 或 视图 的 一 切 成 功 和 
不 成 功 的 访问 要 求 ， 以 及 各 种 类 型 的 SQL 操作 ;系统 级 审计 只 能 由 DBA 设置 ， 用 以 监测 
成 功 或 失败 的 登录 请 求 、 监 测 Grant 和 Revoke 操作 以 及 其 他 数据 库 级 权限 下 的 操作 。 

通过 审计 功能 可 将 用 户 对 数据 库 的 所 有 操作 自动 记录 下 来 , 放 入 审计 日 志 (Audit Log) 
中 。 审 计 日 志 一 般 包 括 下 列 内 容 : 

(1) 操作 类 型 〈 例 如 修改 、 查 询 等 )。 

(2) 操作 终端 标识 与 操作 人 员 标 识 。 

(3) 操作 日 期 和 时 间 。 

(4) 操作 的 数据 对 象 〈 例 如 表 、 视 图 、 记 录 、 属 性 等 )。 

(5) 数据 修改 前 后 的 值 。 
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4.2.2 数据 库 的 完整 性 


数据 库 完 整 性 是 指数 据 库 中 数据 的 正确 性 和 兼容 性 。 数 据 库 完整 性 由 各 种 各 样 的 完整 
性 约束 来 保证 ， 因 此 可 以 说 数据 库 的 完整 性 设计 就 是 数据 库 完 整 性 约束 的 设计 。 

数据 库 的 完整 性 主要 包括 物理 完整 性 和 逻辑 完整 性 。 物 理 完 整 性 是 指 保证 数据 库 中 的 
数据 不 受 物 理 故 障 〈 例 如 硬件 故障 或 掉 电 等 ) 的 影响 ， 并 有 可 能 在 灾难 性 毁坏 时 重建 和 恢复 
数据 库 ， 逻 辑 完整 性 是 指 对 数据 库 逻 辑 结构 的 保护 ， 包 括 数据 语义 与 操作 完整 性 。 前 者 主要 
数 据 存 取 在 逻辑 上 满足 完整 性 约束 ， 后 者 主要 指 在 并 发 事务 中 保证 数据 的 逻辑 一 致 性 。 

数据 库 完整 性 约束 可 以 通过 DBMS 或 应 用 程序 来 实现 ， 基 于 DBMS 的 完整 性 约束 作 
为 模式 的 一 部 分 存 入 数据 库 中 。 通过 DBMS 实现 的 数据 库 完整 性 按照 数据 库 设 计 步 又 进行 
设计 ， 而 由 应 用 软件 实现 的 数据 库 完 整 性 则 纳入 应 用 软件 设计 。 

数据 库 完整 性 对 于 数据 库 应 用 系统 非常 关键 ， 其 作用 主要 体现 在 以 下 儿 个 方面 。 

(1) 数据 库 完 整 性 约束 能 够 防止 合法 用 户 使 用 数据 库 时 向 数据 库 中 添加 不 合 语义 的 
数据 。 

(2) 利用 基于 DBMS 的 完整 性 控制 机 制 来 实现 业务 规则 ， 易 于 定义 ， 容 易 理 解 ， 而 
且 可 以 降低 应 用 程序 的 复杂 性 ， 提 高 应 用 程序 的 运行 效率 。 同 时 ， 基 于 DBMS 的 完整 性 控 
制 机 制 是 集中 管理 的 ， 因 此 比 应 用 程序 更 容易 实现 数据 库 的 完整 性 。 

(3) 合理 的 数据 库 完 整 性 设计 ， 能 够 同时 兼顾 数据 库 的 完整 性 和 系统 的 效能 。 例 如 ， 
装载 大 量 数据 时 ， 只 要 在 装载 之 前 临时 使 基于 DBMS 的 数据 库 完整 性 约束 失效 ， 此 后 再 使 
其 生效 ， 就 既 能 保证 不 影响 数据 装载 的 效率 又 能 保证 数据 库 的 完整 性 。 

(4) 在 应 用 软件 的 功能 测试 中 ， 完 善 的 数据 库 完 整 性 有 助 于 尽早 发 现 应 用 软件 的 错误 。 

数据 库 完整 性 约束 可 分 为 6 类 : 列 级 静态 约束 、 元 组 级 静态 约束 、 关 系 级 静态 约束 、 
列 级 动态 约束 、 元 组 级 动态 约束 、 关 系 级 动态 约束 。 动 态 约束 通常 由 应 用 软件 来 实现 。 不 
同 DBMS 支持 的 数据 库 完 整 性 基本 相同 。 


4.2.3 数据 库 的 并 发 控制 


1. 数据 库 并 发 控制 的 含义 


数据 库 系 统一 般 可 分 为 单 用 户 系统 和 多 用 户 系统 两 种 。 在 任 一 时 刻 只 允许 一 个 用 户 使 
用 的 数据 库 系统 称 为 单 用 户 数据 库 系统 ， 人 允许 多 个 用 户 同时 使 用 的 数据 库 系 统称 为 多 用 户 
数据 库 系统 。 数 据 库 的 最 大 特点 之 一 就 是 数据 资源 共享 ， 因 而 多 数 数据 库 系 统 都 是 多 用 户 
系统 ， 这 样 就 会 发 生 多 个 用 户 并 发 存 取 同 一 数据 块 的 情况 ， 如 果 对 并 发 操作 不 加 以 控制 就 
可 能 产生 不 正确 的 数据 ， 破 坏 数据 库 的 完整 性 。 并 发 控制 就 是 为 了 解决 这 类 问题 ， 以 保持 
数据 库 中 数据 的 一 致 性 。 

2. 事务 


事务 (Transaction〉 是 一 个 逻辑 工作 单元 ， 是 指数 据 库 系统 中 一 组 对 数据 的 操作 序列 。 
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一 个 事务 可 以 是 一 条 或 一 组 SQL 语句 或 整个 应 用 程序 。 事务 具备 的 以 下 几 个 基本 特征 又 称 
为 其 应 遵循 的 ACID 准则 : 

(1) 原子 性 (Atomicity)。 一 个 事务 要 么 全 部 执行 ， 要 么 全 不 执行 ， 不 允许 仅 完成 部 
分 事务 。 

(2) 一 致 性 〈Consistency)。 事 务 的 正确 执行 应 使 数据 库 从 一 个 一 致 性 状态 变 为 另 一 
个 一 致 性 状态 。 数 据 一致 性 是 指数 据 应 满足 的 约束 条 件 。 

(3) 隔离 性 (Isolation)。 多 个 事务 的 并 发 执行 是 独立 的 ， 在 事务 未 结束 前 ， 其 他 事务 
不 能 存 取 该 事务 的 中 间 结 果 数 据 。 

(4) 持久 性 (Durability)。 事 务 提交 后 ， 系 统 应 保证 事务 执行 的 结果 可 靠 地 存放 在 数 
据 库 中 ， 不 会 因为 故障 而 丢失 。 

3， 并 发 控制 的 必要 性 

同一 数据 库 系 统 中 往往 有 多 个 事务 并 发 执行 ， 如 果 不 进行 控制 ， 就 会 产生 数据 的 不 一 
致 性 ， 例 如 出 现 丢 失 更 新 或 不 可 重读 的 情况 。 

4. 常见 的 并 发 控制 技术 

由 上 面 的 介绍 可 知 ， 为 保证 数据 操作 的 正确 性 和 一 臻 性， 必须 进行 并 发 控制 。 实 现 并 
发 控制 的 方法 主要 有 两 种 : 基于 封锁 的 并 发 控制 技术 和 基于 时 间 戳 的 并 发 控制 技术 。 

(1) 基于 封锁 的 并 发 控制 技术 

基于 封锁 的 并 发 控制 思想 是 : 事务 对 数据 操作 前 必须 获得 对 该 数据 的 锁 ， 完 成 操作 后 
在 适当 时 候 释放 锁 ; 当 得 不 到 锁 时 ， 事 务 将 处 于 等 待 状态 。 这 种 技术 涉及 3 个 方面 的 问题 : 

@ 封锁 协议 。 系统 中 的 事务 在 加 锁 和 释放 锁 时 ， 都 必须 遵守 一 组 规则 ， 这 组 规则 称 为 
封锁 协议 。 对 封锁 方式 规定 不 同 的 规则 ， 就 形成 了 各 种 不 同 的 封锁 协议 。 前 面谈 及 的 丢失 
更 新 和 不 可 重读 等 数据 不 一 致 问 题 ， 可 以 通过 3 级 封锁 协议 在 不 同 程度 上 得 到 解决 。 

@ 封锁 粒度 。 封 锁 粒度 是 指 封锁 的 数据 对 象 的 大 小 。 

图 死 锁 。 一 个 事务 如 果 申 请 锁 未 获准 ， 则 须 等 待 其 他 事务 释放 锁 ， 这 就 形成 了 事务 之 
间 的 等 待 关 系 。 当 事务 中 出 现 循环 等 待 时 ， 如 果 不 加 以 干预 ， 就 会 一 直 等 待 下 去 ， 这 种 状 
态 称 为 死 锁 。 基 于 封锁 的 并 发 控制 技术 需要 解决 死 锁 问 题 ， 即 如 何 检测 、 处 理 和 预防 死 锁 。 

死 锁 的 检测 和 处 理 方法 ， 一 般 有 以 下 两 种 。 

Q@ 超时 法 。 如 果 一 个 事务 的 等 待 时 间 超 过 某 时 限 ， 则 认为 发 生死 锁 。 

@ 等 待 图 法 。 等 待 图 是 一 个 有 向 图 ， 其 成 图 规则 是 : 如 果 事 务 T1 需要 的 数据 已 经 被 
事务 T2 封锁 ， 就 从 T1 到 T2 画 一 条 有 向 线段 。 有 向 图 中 出 现 回 路 ， 即 表明 出 现 了 死 锁 。 
发 现 死 锁 后 ， 靠 事务 本 身 无 法 打破 死 锁 ， 必 须 由 数据 库 管理 系统 进行 干预 。 

数据 库 管理 系统 对 死 锁 一 般 采 用 如 下 策略 : 

@ 在 循环 等 待 的 事务 中 ， 选 择 一 个 事务 作为 牺牲 者 ， 给 其 他 事务 “让 路 ”。 

@ 回 滚 牺 牲 的 事务 ， 释 放 其 获得 的 锁 及 其 他 资源 。 

@ 将 释放 的 锁 让 给 等 待 它 的 事务 。 

选取 牺牲 事务 的 方法 有 以 下 几 种 : 
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@ 选择 最 述 交付 的 事务 作为 牺牲 者 。 

@) 选择 获得 锁 最 少 的 事务 作为 牺牲 者 。 

@ 选择 回 滚 代价 最 小 的 事务 作为 牺牲 者 。 

死 锁 的 预防 和 检测 需要 一 定 的 开销 ， 因 此 要 尽量 避免 死 锁 的 发 生 。 数 据 库 系 统 中 预防 
死 锁 常用 的 方法 有 以 下 两 种 : 

@ 一 次 加 锁 法 。 一 次 加 锁 法 是 在 事务 执行 前 , 对 要 使 用 的 所 有 数据 对 和 象 依 次 加 锁 并 要 
求 加 锁 成 功 ， 只 要 一 个 加 锁 不 成 功 ， 即 表示 本 次 加 锁 失 败 ， 立 即 释放 所 有 加 锁 成 功 的 数据 
对 象 ， 然 后 重新 开始 加 锁 。 

@ 顺序 加 锁 法 。 顺序 加 锁 法 是 对 所 有 可 能 封锁 的 数据 对 象 按 序 编号 , 规定 一 个 加 锁 顺 
序 ， 每 个 事务 都 按 此 顺序 加 锁 ， 释 放 时 则 按 逆序 进行 。 

(2) 基于 时 间 戳 的 并 发 控制 技术 

为 了 区 别 事 务 执 行 的 先后 ， 每 个 事务 在 开始 执行 时 ， 都 由 系统 赋予 一 个 唯一 的 、 随 时 
间 增 长 的 整数 ， 称 为 时 间 戳 (Time Stamp，TS)。 设 有 两 个 事务 Tl1 和 T2， 如 果 TS (T1) 
<TS 〈T2)， 则 称 Tl 比 T2“ 年 老 ” 或 T2 比 TI1“ 年 轻 ”。 

基于 时 间 惟 的 并 发 控制 思想 是 : 以 时 间 戳 的 顺序 处 理 冲 突 ， 使 一 组 事务 的 交叉 执行 等 
价 于 一 个 由 时 间 戳 确定 的 串 行 序列 ， 其 目的 是 保证 冲突 的 读 操作 和 写 操作 按照 时 间 戳 的 顺 
序 执行 。 

基本 的 时 间 戳 法 遵循 以 下 准则 : 

@ 事务 开始 时 ， 赋 予 事务 一 个 时 间 戳 。 

@ 事务 的 每 个 读 操作 或 写 操作 都 带 有 该 事务 的 时 间 戳 。 

@ 对 每 个 数据 项 R， 记 录 读 过 和 写 过 R 的 所 有 事务 的 最 大 时 间 戳 值 分 别 为 RTM(R) 和 
WTIMI(R)。 

@ 当 事 务 对 数据 项 R 请 求 读 操作 时 ， 若 对 R 进行 读 操 作 的 时 间 惟 为 TS， 且 
TS<WTM(R)， 则 拒绝 该 读 操 作 ， 并 用 新 的 时 间 戳 重新 启动 该 事务 ; 否则， 执行 读 操作 ， 并 
把 RTM(R) 设 置 成 RTM(R) 的 最 大 值 。 

@ 当 事 务 对 数据 项 R 请 求 写 操作 时 ， 若 TS<RTM(R) 或 TS<WTM(R)， 则 拒绝 该 写 操 
作 ， 并 用 新 的 时 间 戳 重新 启动 该 事务 ， 和 否则 ， 执 行 写 操作 ， 并 把 WTM(R) 设 置 为 TS。 

在 基本 时 间 惟 法 中 ， 一 旦 发 现 冲 突 ， 不 是 等 待 而 是 重启 事务 ， 因 而 不 会 发 生死 锁 ， 这 
是 其 最 大 优点 。 但 这 一 优点 是 以 重启 事务 为 代价 的 ， 为 避免 事务 重启 又 有 保守 时 间 惟 法 和 
乐观 的 并 发 控制 法 等 改进 方法 。 

保守 时 间 惟 法 的 基本 思想 是 不 拒绝 任何 操作 ， 因 而 不 必 重 启事 务 。 如 果 操 作 不 能 执行 ， 
则 缓冲 较 年 轻 事 务 的 操作 ， 直 到 所 有 较 老 的 操作 执行 完 为 止 。 此 时 ， 系 统 需要 知道 什么 时 
候 不 再 有 较 老 的 操作 存在 ， 而 且 缓 冲 事务 的 操作 可 能 会 造成 较 老 事务 等 待 较 年 轻 事务 的 情 
况 而 造成 死 锁 ， 实 现 起 来 比较 困难 。 

乐观 的 并 发 控制 法 是 基于 事务 间 的 冲突 操作 很 少 ， 因 此 事务 的 执行 可 以 不 考虑 冲突 。 
但 为 解决 冲突 写 操作 ， 需 将 其 暂时 保存 ， 待 事务 结束 后 由 专门 的 机 构 检 测 是 否 可 以 将 数据 
写 到 数据 库 中 。 若 不 能 ， 则 重启 该 事务 。 
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4.2.4 数据 库 的 备份 与 恢复 


数据 库 系统 如 果 发 生 突如其来 的 故障 〈 例 如 黑客 攻击 、 病 毒 袭击 、 硬 件 故 障 和 人 为 误 
操作 等 ) 可 能 会 导致 数据 的 丢失 。 提 高 数据 的 安全 性 和 数据 恢复 能 力 一 直 是 用 户 和 厂商 关 
注 的 焦点 。 备 份 是 恢复 数据 最 容易 和 最 有 效 的 方法 。 备 份 应 定期 进行 ， 并 执行 有 效 的 数据 
管理 。 

1. 数据 库 的 备份 

在 对 数据 库 进行 备份 之 前 ， 制 定 相应 的 备份 策略 是 很 有 必要 的 。 

(1) 制定 备份 的 策略 

@ 备份 周期 是 按 月 、 周 、 天 还 是 小 时 。 

@ 使 用 冷 备份 还 是 热 备份 。 

@ 使 用 增 量 备份 还 是 全 部 备份 ， 或 者 两 者 同时 使 用 。 

@ 使 用 什么 介质 进行 备份 ， 备 份 到 磁盘 还 是 磁带 。 

@ 是 人 工 备份 还 是 设计 一 个 程序 定期 自动 备份 。 

备份 介质 的 存放 是 否 防 窗 、 防 磁 、 防 火 。 

(2) 数据 库 备 份 的 类 型 

常用 的 数据 库 备份 的 方法 有 冷 备份 、 热 备份 和 风 辑 备份 3 种 。 

G@ 冷 备份 。 冷 备份 是 在 没有 终端 用 户 访问 数据 库 的 情况 下 ， 关 闭 数据 库 并 将 其 备份 ， 
又 称 为 “ 脱 机 备份 ”。 这 种 方法 在 保持 数据 完整 性 方面 显然 最 有 保障 ， 但 是 对 于 那些 必须 保 
持 每 天 24 小 时 、 每 周 7 天 全 天 候 运 行 的 数据 库 服务 器 来 说 , 较 长 时 间 地 关闭 数据 库 进行 备 
份 是 不 现实 的 。 

@ 热 备份 。 热 备份 是 指 当 数据 库 正 在 运行 时 进行 的 备份 ， 又 称 为 “联机 备份 ”因为 
数据 备份 需要 一 段 时 间 ， 而 且 备 份 大 容量 的 数据 库 也 需要 较 长 的 时 间 ， 那 么 在 此 期 间 发 生 
的 数据 更 新 就 有 可 能 使 备份 的 数据 不 能 保持 完整 性 。 这 个 问题 的 解决 依赖 于 数据 库 日 志 
件 。 在 备份 时 , 日 志文 件 将 需要 进行 数据 更 新 的 指令 “ 堆 起 来 ”并 不 进行 真正 的 物理 更 新 ， 
因此 数据 库 能 被 完整 地 备份 。 备 份 结束 后 ， 系 统 再 按照 被 日 志文 件 “ 堆 起 来 ”的 指令 对 数 
据 库 进行 真正 的 物理 更 新 。 可见, 被 备份 的 数据 保持 了 备份 开始 时 刻 前 的 数据 一 致 性 状态 。 

热 备 份 操作 存在 如 下 不 利 因素 : 

@ ”如 果 系 统 在 进行 备份 时 月 淡 ， 则 堆 在 日 志文 件 中 的 所 有 事务 都 会 被 丢失 ， 即 造成 

数据 或 更 新 的 丢失 。 

e 在 进行 热 备 份 的 过 程 中 ， 如 果 日 志文 件 占用 的 系统 资源 过 大 ， 例 如 将 系统 存储 空 

间 占 用 完 ， 会 造成 系统 不 能 接受 业务 请 求 的 局 面 ， 对 系统 运行 产生 影响 。 

@ 。 热 备份 本 身 要 占用 相当 一 部 分 系统 资源 ， 使 系统 的 运行 效率 下 降 。 

@ 逻辑 备份 。 逻 辑 备 份 是 指使 用 软件 技术 从 数据 库 中 导出 数据 并 写 入 一 个 输出 文件 ， 
该 文件 的 格式 一 般 与 原 数据 库 的 文件 格式 不 同 ， 只 是 原 数 据 库 中 数据 内 容 的 一 个 映像 。 因 
此 ， 逻 辑 备份 文件 只 能 用 来 对 数据 库 进 行 逻 辑 恢 复 ， 即 数据 导入 ， 而 不 能 按 数 据 库 原来 的 
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存储 特征 进行 物理 恢复 。 逻 辑 备 份 一 般 用 于 增 量 备 份 ， 即 备份 那些 在 上 次 备份 以 后 改变 的 
数据 。 

2. 数据 库 恢复 

恢复 也 称 为 重 载 或 重 入 ， 是 指 当 磁 盘 损坏 或 数据 库 崩 溃 时 ， 通 过 转 储 或 跟 载 的 备份 重 
新 安装 数据 库 的 过 程 。 数 据 库 恢 复 技术 一 般 有 3 种 策略 ， 即 基于 备份 的 恢复 、 基 于 运行 时 
日 志 的 恢复 和 基于 镜像 数据 库 的 恢复 。 

(1) 基于 备份 的 恢复 

基于 备份 的 恢复 是 指 周 期 性 地 备份 数据 库 ， 当 数据 库 失效 时 ， 可 取 最 近 一 次 的 数据 库 
备份 来 恢复 数据 库 ， 即 把 备份 的 数据 复制 到 原 数据 库 所 在 的 位 置 上 。 用 这 种 方法 ， 数 据 库 
只 能 恢复 到 最 近 一 次 备份 的 状态 ， 而 从 最 近 备 份 到 故障 发 生 期 间 的 所 有 数据 库 更 新 将 会 丢 
失 。 备 份 的 周期 越 长 ， 丢 失 的 更 新 数据 越 多 。 

(2) 基于 运行 时 日 志 的 恢复 

运行 时 ， 可 使 用 日 志文 件 来 记录 对 数据 库 的 每 一 次 更 新 。 对 日 志 的 操作 优先 于 对 数据 
库 的 操作 ， 以 确保 记录 数据 库 的 更 改 。 当 系统 突然 失效 而 导致 事务 中 断 时 ， 可 重新 装 入 数 
据 库 的 副本 ， 把 数据 库 恢 复 到 上 一 次 备份 时 的 状态 。 然 后 系统 自动 正 向 扫描 日 志文 件 ， 将 
故障 发 生前 所 有 提交 的 事务 放 到 重 做 队列 ， 将 未 提交 的 事务 放 到 撤销 队列 中 执行 ， 这 样 就 
可 把 数据 库 恢 复 到 故障 前 某 一 时 刻 的 数据 一 致 性 状态 。 

(3) 基于 镜像 数据 库 的 恢复 

数据 库 镜像 就 是 在 另 一 个 磁盘 上 复制 数据 库 作 为 实时 副本 。 当主 数据 库 更 新 时 , DBMS 
自动 把 更 新 后 的 数据 复制 到 镜像 数据 库 ， 始 终 使 镜像 数据 和 主 数据 保持 一 致 性 。 当 主 数据 
库 出 现 故 障 时 ， 可 由 镜像 磁盘 继续 提供 使 用 ， 同 时 DBMS 自动 利用 镜像 磁盘 数据 进行 数据 
库 恢复 。 镜 像 策 略 可 以 使 数据 库 的 可 靠 性 大 为 提高 ， 但 由 于 数据 镜像 通过 复制 数据 实现 ， 
频繁 的 复制 会 降低 系统 的 运行 效率 ， 因 此 一 般 仅 在 对 效率 要 求 较 高 的 情况 下 使 用 。 为 兼顾 
可 靠 性 和 可 用 性 ， 可 有 选择 性 地 镜像 关键 数据 。 

数据 库 的 备份 和 恢复 是 一 个 完善 的 数据 库 系统 必 不 可 少 的 一 部 分 ， 目 前 这 种 技术 已 经 
被 广泛 应 用 于 数据 库 产品 中 。 例 如 ，Oracle 数据 库 提供 对 联机 备份 、 脱 机 备份 、 逻 辑 备 份 、 
完全 数据 恢复 及 不 完全 数据 恢复 的 全 面 支持 。 据 预测 ， 以 “数据 ”为 核心 的 计算 将 逐渐 取 
代 以 “应 用 ”为 核心 的 计算 。 在 一 些 大 型 的 分 布 式 数据 库 应 用 中 ， 多 备份 恢复 和 基于 数据 
中 心 的 异地 容 灾 备份 恢复 等 技术 正在 得 到 越 来 越 多 的 应 用 。 


4.3 数据库 的 安全 保护 


4.3.1 数据 库 的 安全 保护 层次 


数据 库 系统 的 安全 除 依赖 自身 内 部 的 安全 机 制 外 ， 还 与 外 部 网 络 环境 、 应 用 环境 、 从 
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业 人 员 素 质 等 因素 息息相关 。 因 此 ， 从 广义 上 讲 ， 数 据 库 系统 的 安全 框架 可 以 划分 为 3 个 
层次 一 一 网 络 系统 层次 、 宿 主 操作 系统 层次 、 数 据 库 管理 系统 层次 。 

这 3 个 层次 构筑 成 数据 库 系 统 的 安全 体系 ， 与 数据 安全 的 关系 是 逐 层 紧密 的 ， 防 范 的 
重要 性 也 逐 层 加 强 ， 从 外 到 内 、 由 表 及 里 保证 数据 的 安全 。 下 面 将 对 安全 框架 的 3 个 层次 
展开 论述 。 

1. 网 络 系统 层次 安全 技术 


数据 库 的 安全 首先 依赖 于 网 络 系统 。 随 着 Internet 的 发 展 和 普及 , 越 来 越 多 的 公司 将 其 
核心 业务 向 互联 网 转移 ， 各 种 基于 网 络 的 数据 库 应 用 系统 如 雨 后 春 算 般 涌现 出 来 ， 面 向 网 
络 用 户 提供 各 种 信息 服务 。 可 以 说 网 络 系 统 是 数据 库 应 用 的 外 部 环境 和 基础 ， 数 据 库 系 统 
要 发 挥 其 强大 作用 离 不 开 网 络 系统 的 支持 ， 数 据 库 系 统 的 用 户 〈 例 如 异地 用 户 、 分 布 式 用 
户 ) 也 要 通过 网 络 才能 访问 数据 库 中 的 数据 。 网 络 系统 的 安全 是 数据 库 安全 的 第 一 道 屏 障 ， 
外 部 入 侵 首先 就 是 从 入 侵 网 络 系统 开始 的 。 网 络 入 侵 是 试图 破坏 信息 系统 的 完整 性 、 机 密 
性 或 可 信任 的 任何 网 络 活动 的 集合 ， 具 有 以 下 特点 。 

@ ”没有 地 域 和 时 间 的 限制 ， 跨 越 国界 的 攻击 就 如 同 在 现场 一 样 方便 。 

@ ”借助 于 网 络 的 攻击 往往 混杂 在 大 量 正常 的 网 络 活动 之 中 ， 隐 蔽 性 强 。 

@ 入侵 手段 更 加 隐蔽 和 复杂 。 

计算 机 网 络 系统 在 开放 式 环境 中 所 面临 的 威胁 ， 主 要 有 以 下 几 种 类 型 。 
欺骗 (Masquerade )。 

重 发 (Replay)。 

报 文 修改 (Modification of Message)。 
拒绝 服务 (Deny of Service)。 

陷阱 门 〈Trapdoor ) 。 

特洛伊 木马 〈Trojan Horse)。 

@ ”攻击 ， 如 透 纳 攻击 “Tunneling Attack)、 应 用 软件 攻击 等 。 

这 些 安全 威胁 是 无 时 、 无 处 不 在 的 ， 因 此 必须 采取 有 效 的 措施 来 保障 系统 的 安全 。 

从 技术 角度 来 讲 ， 网 络 系统 层次 的 安全 防范 技术 有 很 多 种 ， 大 致 可 以 分 为 防火 墙 、 入 
侵 检 测 、 协 作 式 入 侵 检测 技术 等 。 

(1) 防火 墙 是 应 用 最 广 的 一 种 防范 技术 

作为 系统 的 第 一 道 防线 ， 其 主要 作用 是 监控 可 信任 网 络 和 不 可 信任 网 络 之 间 的 访问 通 
道 ， 可 在 内 部 与 外 部 网 络 之 间 形 成 一 道 防护 屏障 ， 拦 截 来 自 外 部 的 非法 访问 并 阻止 内 部 信 
息 的 外 泄 ， 但 它 无 法 阻拦 来 自 网 络 内 部 的 非法 操作 。 它 根据 事先 设 定 的 规则 来 确定 是 否 拦 
截 信 息 流 的 进出 ， 但 无 法 动态 识别 或 自 适 应 地 调整 规则 ， 因 而 其 智能 化 程度 很 有 限 。 

(2) 入 侵 检测 (Instrusion Detection System，IDS) 是 近年 来 发 展 起 来 的 一 种 防范 技术 

入 侵 检测 综合 采用 了 统计 技术 、 规 则 方法 、 网 络 通信 技术 、 人 工 智能 、 密 码 学 、 推 理 
等 技术 和 方法 ， 其 作用 是 监控 网 络 和 计算 机 系统 是 否 出 现 被 入 侵 或 滥用 的 征兆 。1987 年 ， 
Derothy Denning 首次 提出 了 一 种 检测 入 侵 的 思想 ， 经 过 不 断 发 展 和 完善 ， 作 为 监控 和 识别 
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攻击 的 标准 解决 方案 ，IDS 系统 已 经 成 为 安全 防御 系统 的 重要 组 成 部 分 。 

2. 宿主 操作 系统 层次 

操作 系统 是 大 型 数据 库 系 统 的 运行 平台 ， 为 数据 库 系统 提供 了 一 定 程度 的 安全 保护 。 
目前 操作 系统 平台 大 多 数 集中 在 Windows NT 和 UNIX 上 ， 安 全 级 别 通常 为 C1、C2 级 ; 
主要 安全 技术 包括 操作 系统 安全 策略 、 安 全 管理 策略 、 数 据 安 全 等 。 

操作 系统 安全 策略 用 于 配置 本 地 计算 机 的 安全 设置 ， 包 括 密码 策略 、 账 户 锁定 策略 、 
审核 策略 、IP 安全 策略 、 用 户 权限 指派 、 加 密 数 据 的 恢复 代理 以 及 其 他 安全 选项 ， 具 体 可 
以 体现 在 用 户 账户 、 口 令 、 访 问 权 限 、 审 计 等 。 

3. 数据 库 管 理 系统 层次 

通过 前 面 两 个 安全 层次 的 防护 ， 数 据 库 系 统 的 安全 性 得 到 了 一 定 程 度 上 的 保障 ， 但 是 
这 并 不 意味 着 危险 完全 解除 。 一 旦 数据 库 的 网 络 安全 层次 和 操作 系统 层次 被 破坏 ， 就 需要 
数据 库 管理 系统 层次 安全 技术 来 解决 问题 ， 这 就 要 求 数据 库 管理 系统 必须 有 一 套 强 有 力 的 
安全 机 制 。 解 决 这 一 问题 的 有 效 方法 之 一 是 数据 库 管 理 系统 对 数据 库 文件 进行 加 密 处 理 ， 
使 得 即使 数据 不 幸 泄 露 或 者 丢失 ， 也 难以 被 人 破译 和 阅读 。 


4.3.2 数据 库 的 审计 


数据 库 审计 是 指 监视 和 记录 用 户 对 数据 库 所 施加 的 各 种 操作 的 机 制 。 按 照 美国 国防 部 
TCSEC/TDI 标准 中 关于 安全 策略 的 要 求 ， 审 计 功能 是 数据 库 系 统 达到 C2 以 上 安全 级 别 必 
不 可 少 的 一 项 指标 。 

审计 功能 自动 记录 用 户 对 数据 库 的 所 有 操作 ， 并 且 存 入 审计 日 志 。 事 后 可 以 利用 这 些 
信息 重 现 导致 数据 库 现 有 状况 的 一 系列 事件 ， 提 供 分 析 攻 击 者 线索 的 依据 。 

审计 功能 是 数据 库 管 理 系统 安全 性 中 非常 重要 的 一 部 分 ， 只 要 检测 审计 记录 ， 系 统 安 
全 员 便 可 掌握 数据 库 被 使 用 的 状况 。 例 如 ， 检 查 库 中 实体 的 存 取 模 式 ， 监 测 指定 用 户 的 行 
为 。 审 计 系统 可 以 跟踪 用 户 的 全 部 操作 ， 这 也 使 得 审计 系统 具有 一 种 威慑 力 ， 提 醒 用 户 安 
全 使 用 数据 库 。 

数据 库 管 理 系统 的 审计 主要 分 为 语句 审计 、 特 权 审计 、 模 式 对 象 审计 和 资源 审计 。 语 
名 审计 是 指 监视 一 个 或 者 多 个 特定 用 户 或 者 所 有 用 户 提交 的 SQL 语句 ; 特权 审计 是 指 监视 
一 个 或 者 多 个 特定 用 户 或 者 所 有 用 户 使 用 的 系统 特权 ; 模式 对 象 审 计 是 指 监视 一 个 模式 中 
在 一 个 或 者 多 个 对 象 上 发 生 的 行为 ， 资 源 审 计 是 指 监 视 分 配给 每 个 用 户 的 系统 资源 。 

审计 机 制 应 该 至 少 记 录用 户 标识 和 认证 、 客 体 访问 、 授 权 用 户 进行 的 影响 系统 安全 的 
操作 ， 以 及 其 他 安全 相关 事件 。 对 于 每 个 记录 的 事件 ， 审 计 记录 中 需要 包括 事件 发 生 的 时 
间 、 用 户 、 时 间 类 型 、 事 件数 据 和 事件 的 成 功 /失败 情况 。 对 于 标识 和 认证 事件 ， 必 须 记 录 
事件 源 的 终端 ID 和 源 地 址 等 ， 对 于 访问 和 删除 对 象 的 事件 ， 则 需要 记录 对 象 的 名 称 。 

审计 的 策略 库 一 般 由 两 个 方面 的 因素 构成 ， 即 数据 库 本 身 可 选 的 审计 规则 和 管理 员 设 
计 的 触发 策略 机 制 。 当 这 些 审 计 规则 或 策略 机 制 被 触发 时 ， 则 将 引起 相关 的 表 操 作 。 这 些 
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表 可 能 是 数据 库 自 定义 的 ， 也 可 能 是 管理 员 另 外 定义 的 ， 最 终 这 些 审计 的 操作 都 将 被 记录 
在 特定 的 表 中 以 备查 证 。 一 般 来 说 ， 将 审计 跟踪 和 数据 库 日 志 记 录 结 合 起 来 ， 会 达到 更 好 
的 安全 审计 效果 。 


4.3.3 ”数据 库 的 加 密 保护 


如 果 入 侵 者 绕 过 系统 访问 数据 库 的 信息 内 容 ， 如 果 入 侵 者 通过 物理 移 除 磁盘 或 备份 磁 
盘 盗 走 数据 库 ， 如 果 入 侵 者 接 入 载 有 真实 用 户 数据 的 通信 链 路 ， 如 果 聪 明 的 入 侵 者 通过 运 
行程 序 突破 操作 系统 防线 来 检索 数据 ， 情 况 会 如 何 呢 ? 

在 这 些 情 况 下 ， 数 据 库 系 统 的 各 种 授权 规则 或 许 不 能 提供 充分 的 保护 。 标 准 安全 技术 
无 法 防范 绕 过 系统 访问 数据 的 侵扰 ， 这 就 需要 采取 其 他 保护 措施 来 加 强 系 统 安全 。 加 密 技 
术 提供 了 附加 保护 ， 数 据 库 中 的 数据 是 可 以 被 加 密 的 ， 加 密 数 据 是 不 可 能 被 读 出 的 。 加 密 
也 构成 了 鉴定 数据 库 用 户 身份 良好 机 制 的 基础 。 

数据 加 密 是 保护 数据 在 存储 和 传输 过 程 中 不 被 窍 取 或 修改 的 有 效 手 段 。 加 密 的 基本 有 思 
想 是 根据 一 定 的 算法 将 原始 数据 (明文 ) 加 密 成 不 可 直接 识别 的 格式 ( 密 文 )， 数 据 以 密 文 
的 形式 存储 和 传输 。 数 据 加 密 后 ， 对 不 知道 解密 算法 和 密 钥 的 人 ， 即 使 通过 非法 手段 访问 
到 数据 ， 也 只 是 一 些 无 法 辨认 的 二 进 制 代码 。 

1， 常 用 数据 库 加 密 技术 

对 数据 库 中 的 数据 进行 加 密 是 为 了 增强 普通 关系 型 数据 库 管理 系统 的 安全 性 ， 提 供 一 
个 安全 适用 的 数据 库 加 密 平台 ， 对 数据 库存 储 的 内 容 实 施 有 效 保护 。 通 过 对 数据 库存 储 加 
密 等 方法 可 实现 数据 库 中 数据 存储 保密 和 完整 性 要 求 ， 使 得 数据 库 以 密 文 方式 存储 并 在 密 
态 方式 下 工作 ， 确 保 了 数据 安全 。 一 般 而 言 ， 一 个 行 之 有 效 的 数据 库 加 密 技术 主要 有 以 下 
6 个 方面 的 功能 和 特性 。 

(1) 身份 认证 。 用 户 除 提供 用 户 名 、 口 令 外 ， 还 必须 按照 系统 的 安全 性 要 求 提供 其 他 
相关 安全 凭证 ， 例 如 使 用 终端 密 钥 。 

(2) 通信 加 密 与 完整 性 保护 。 有 关 数 据 库 的 访问 在 网 络 传输 中 都 被 加 密 ， 通 信 一 次 一 
密 的 意义 在 于 防 重 放 、 防 算 改 。 

(3) 数据 库 中 数据 存储 的 加 密 与 完整 性 保护 。 数 据 库 系 统 采用 数据 项 级 存储 加 密 ， 即 
数据 库 中 不 同 的 记录 、 每 条 记录 的 不 同 字段 都 采用 不 同 的 密 钥 加 密 ， 辅 以 校 验 措施 来 保证 
数据 库 中 数据 存储 的 保密 性 和 完整 性 ， 防 止 数据 的 非 授权 访问 和 修改 。 

(4) 数据 库 加 密 设置 。 在 系统 中 可 以 选择 需要 加 密 的 数据 序列 ， 以 便于 用 户 选择 那些 
敏感 信息 进行 加 密 而 不 是 全 部 数据 都 加 密 。 只 对 用 户 的 敏感 数据 加 密 ， 可 以 提高 数据 库 的 
访问 速度 。 这 样 ， 有 利于 用 户 在 效率 与 安全 性 之 间 进 行 自主 选择 。 

(5) 多 级 密 钥 管理 模式 。 主 密 钥 和 主 密 钥 变量 保存 在 安全 区 域 ， 二 级 密 钥 受 主 密 钥 变 
量 加 密 保 护 , 数据 加 密 的 密 钥 存储 或 传输 时 利用 二 级 密 钥 加 密 保护 ,使 用 时 受 主 密 钥 保护 。 

(6) 安全 备份 。 系 统 提供 数据 库 明 文 备份 功能 和 密 钥 备份 功能 。 
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2.， 对 数据 库 加 密 系统 的 基本 要 求 

(1) 字段 加 密 。 

(2) 密 钥 动 态 管 理 。 

(3) 合理 处 理 数据 。 

(4) 不 影响 合法 用 户 的 操作 。 

(5) 防止 非法 复制 。 

3. 数据 加 密 的 算法 

加 密 算法 是 一 些 公式 和 法 则 ， 主 要 用 于 规定 明文 和 密 文 之 间 的 变换 方法 。 密 钥 是 控制 
加 密 算法 和 解密 算法 的 关键 信息 ， 它 的 产生 、 传 输 、 存 储 等 工作 是 十 分 重要 的 。 数 据 加 密 
的 基本 过 程 包括 对 明文 〈 即 可 读 信息 ) 进行 翻译 ， 译 成 密 文 或 密码 的 代码 形式 。 该 过 程 的 
逆 过 程 为 解密 ， 即 将 该 编码 信息 转化 为 其 原来 的 形式 的 过 程 。 

有 关 数 据 加 密 算法 的 具体 描述 参阅 第 2 章 。 

4. 数据 加 密 的 实现 

对 数据 进行 加 密 ， 主 要 有 3 种 方式 ， 即 系统 中 加 密 、 服 务 器 端 (DBMS 内 核 层 ) 加 密 、 
客户 端 (DBMS 外 层 ) 加密 。 

(1) 在 系统 中 加 密 。 在 系统 中 无 法 辨认 数据 库 文件 中 的 数据 关系 ， 将 数据 先 在 内 存 中 
进行 加 密 ， 然 后 文件 系统 把 每 次 加 密 后 的 内 存 数据 写 入 到 数据 库 文件 中 ， 读 出 时 再 逆向 进 
行 解密 。 这 种 加 密 方法 相对 简单 ， 只 要 妥善 管理 密 钥 就 可 以 了 。 其 缺点 是 对 数据 库 的 读 写 
都 比较 麻烦 ， 每 次 都 要 进行 加 /解密 的 工作 ， 对 程序 的 编写 和 读 / 写 数据 库 的 速度 都 会 有 所 
影响 。 

(2) 在 DBMS 内 核 层 实现 加 密 ， 需 要 对 数据 库 管 理 系统 本 身 进行 操作 。 这 种 加 密 需 
要 数据 在 物理 存 取 之 前 完成 加 /解密 工作 。 这 种 加 密 方式 的 优点 是 加 密 功 能 强 ， 并 且 加 密 功 
能 几乎 不 会 影响 DBMS 的 功能 ， 可 以 实现 加 密 功能 与 数据 库 管 理 系 统 之 间 的 无 缝 耦合。 其 
缺点 是 加 密 运 算 在 服务 器 端 进行 ， 加 重 了 服务 器 的 负载 ， 而 且 这 种 加 密 需 要 对 数据 库 管理 
系统 本 身 进行 操作 ， 属 核心 层 加 密 ， 如 果 没 有 数据 库 开发 商 的 配合 ， 其 实现 难度 相对 较 大 。 
这 种 加 密 方式 如 图 4-1 所 示 。 

(3) 在 DBMS 外 层 实 现 加 密 的 好 处 是 不 会 加 重 数据 库 服务 器 的 负载 ， 并 且 可 实现 网 
上 的 传输 。 这 种 加 密 比 较 实 际 的 做 法 是 将 数据 库 加 密 系 统 做 成 DBMS 的 一 个 外 层 工 具 ， 根 
据 加 密 要 求 自动 完成 对 数据 库 中 数据 的 加 /解密 处 理 。 对 那些 希望 通过 ASP 获得 服务 的 企 
业 来 说 ， 只 有 在 客户 端 实现 加 /解密 ， 才 能 保证 其 数据 的 安全 可 靠 。 这 种 加 密 方 式 如 图 4-2 
所 示 。 

在 这 种 数据 库 加 密 系 统 中 有 两 个 功能 独立 的 重要 部 件 : 一 个 是 加 密 字典 管理 程序 ， 另 
一 个 是 数据 库 加 /解密 引擎 ， 其 体系 结构 如 图 4-3 所 示 。 数 据 库 加 密 系统 将 用 户 对 数据 库 信 
息 具 体 的 加 密 要 求 以 及 基础 信息 保存 在 加 密 字 典 中 , 通过 调用 数据 加 /解密 引擎 实现 对 数据 
库 表 的 加 密 、 解 密 及 数据 转换 等 功能 。 数 据 库 信息 的 加 /解密 处 理 是 在 后 台 完 成 的 ， 对 数据 
库 服务 器 是 透明 的 。 
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定义 加 密 工具 


加 密 器 数据 库 
(软件 或 硬件 ) ME 应 用 系统 


图 4-1 DBMS 内 核 加 密 关系 图 4-2 DBMS 外 层 加 密 关 系 


定义 加 密 要 求 工 具 


加 密 系 统 
应 用 程序 


图 4-3 ”数据库 加 密 系统 体系 结构 
这 种 数据 库 加 密 系统 具有 很 多 优点 : 首先 ， 系 统 对 数据 库 的 最 终 用 户 是 完全 透明 的 ， 
管理 员 可 以 根据 需要 进行 明文 和 密 文 的 转换 工作 ;其 次 ， 加 密 系 统 完全 独立 于 数据 库 应 用 
系统 ， 无 须 改动 数据 库 应 用 系统 就 能 实现 数据 的 加 密 功 能 ;第 三 ， 加 /解密 处 理 在 客户 端 进 
行 ， 不 会 影响 数据 库 服务 器 的 效率 。 


4.4 ”Web 数据 库 的 安全 


4.4.1 Web 数据 库 概述 


1. Web 数据 库 的 概念 

数据 库 是 指 按照 一 定 的 结构 和 规则 组 织 起 来 的 相关 数据 的 集合 , 是 存放 数据 的 “仓库 ” 
据 此 即 可 将 网 络 数据 库 定义 为 以 后 台数 据 库 为 基础 的 ， 加 上 一 定 的 前 台 程 序 ， 通 过 浏览 
完成 数据 存储 、 查 询 等 操作 的 系统 。 

数据 库 技术 是 计算 机 处 理 与 存储 数据 的 最 有 效 、 最 成 功 的 技术 ， 而 计算 机 网 络 的 特点 
是 资源 共享 ， 因 此 数据 与 资源 共享 这 两 种 技术 的 结合 即 成 为 今天 得 到 广泛 应 用 的 Web 数 
据 库 。 

Web 数据 库 的 工作 流程 : 首先 用 户 利用 浏览 器 作为 输入 接口 ， 输 入 所 需要 的 数据 ， 浏 
览 器 随后 将 这 些 数据 传送 给 网 站 ， 而 网 站 再 对 这 些 数据 进行 处 理 〈 例 如 ， 将 数据 存 入 后 台 
数据 库 ， 或 者 对 后 台数 据 库 进行 查询 操作 等 )， 最 后 网 站 将 操作 结果 传 回 给 浏览 器 ， 通 过 济 
览 器 将 结果 告知 用 户 。 
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通常 Web 数据 库 的 环境 由 硬件 元 素 和 软件 元 素 组 成 。 硬件 元 素 包括 Web 服务 器 、 客 户 
机 、 数据库 服务 器 、 网 络 。 软件 元 素 包 括 客户 端 必须 有 能 够 解释 执行 HTML 代码 的 浏览 器 ， 
如 王 、Netscape 等 ; 在 Web 服务 器 中 ， 必 须 具 有 可 以 自动 生成 HTML 代码 程序 的 功能 ， 
如 ASP、CGI 等 , 具有 能 自动 完成 数据 操作 指令 的 数据 库 系 统 ， 如 Access、SQL Server 等 。 

凭借 其 易 用 性 、 实 用 性 ，Web 很 快 占据 了 主导 地 位 ， 并 逐渐 发 展 成 为 目前 使 用 最 广泛 、 
最 有 前 途 、 最 有 魅力 的 信息 传播 技术 。 不 过 Web 服务 只 是 提供 了 Internet 上 信息 交互 的 平 
台 ， 随 着 Internet 技术 的 兴起 与 发 展 以 及 Web 技术 的 蓬勃 发 展 ， 人 们 开始 渐渐 不 满足 于 只 
在 Web 浏览 器 上 获取 静态 的 信息 ， 人 们 需要 通过 它 发 表意 见 、 查 询 数据 ， 甚 至 进行 网 上 购 
物 ， 这 就 迫切 需要 实现 真正 的 Internet。 

Web 与 数据 库 的 互联 ， 将 人 、 企 业 、 社 会 与 Internet 融 为 一 体 。Web 技术 发 展 到 今天 ， 
人 们 已 经 可 以 把 数据 库 技 术 引入 到 Web 系统 中 。 数 据 库 技术 发 展 比较 成 熟 ， 特 别 适用 于 对 
大 量 的 数据 进行 组 织 管理 ， 而 Web 技术 具有 较 佳 的 信息 发 布 途径 ， 这 两 种 技术 的 天 然 互 久 
性 决定 了 相互 融合 是 其 发 展 的 必然 趋势 。 将 Web 技术 与 数据 库 技术 融合 在 一 起 ， 使 数据 库 
系统 成 为 Web 的 重要 有 机 组 成 部 分 ， 不 仅 可 以 把 二 者 的 所 有 优点 集中 在 一 起 ， 而 且 能 够 充 
分 利用 大 量 已 有 的 数据 库 信 息 资源 ， 使 用 户 能 够 在 Web 浏览 器 上 方便 地 检索 和 浏览 数据 库 
的 内 容 ， 这 对 许多 软件 开发 者 来 说 具有 极 大 的 吸引 力 。 因 此 ， 将 Web 技术 与 数据 库 技术 相 
结合 ， 开 发 动态 的 Web 数据 库 应 用 已 成 为 当今 Web 技术 研究 的 热点 。Web 数据 库 可 以 实 
现 方便 廉价 的 资源 共享 ， 而 数据 信息 是 资源 的 主体 ， 因 而 Web 数据 库 技术 自然 而 然 成 为 互 
联网 的 核心 技术 。 

2. Web 数据 库 系 统 的 基本 模型 

Web 数据 库 的 C/S 和 B/S 模式 ， 分 别 如 图 4-4 和 图 4-5 所 示 。 


浏览 器 


图 4-4 网 络 数据 库 的 C/S 模式 图 4-5 网 络 数据库 的 B/S 模式 


(1) C/S 模式 与 B/S 模式 概述 

C/S (Client/Server) 结构 ， 即 客户 机 /服务 器 结构 。 它 是 软件 系统 体系 结构 ， 通 过 它 可 
以 充分 利用 两 端 硬件 环境 的 优势 ， 将 任务 合理 分 配 到 Client 端 和 Server 端 来 实现 ， 降 低 了 
系统 的 通信 开销 。 目 前 大 多 数 应 用 软件 系统 都 是 Client/Server 形式 的 两 层 结构 。 由 于 现在 
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的 软件 应 用 系统 正在 向 分 布 式 的 Web 应 用 发 展 ，Web 和 Client/Server 应 用 都 可 以 进行 同样 
的 业务 处 理 ， 应 用 不 同 的 模块 共享 逻辑 组 件 ， 因 此 内 部 的 和 外 部 的 用 户 都 可 以 访问 新 的 和 
现 有 的 应 用 系统 ， 通 过 现 有 应 用 系统 中 的 逻辑 可 以 扩展 出 新 的 应 用 系统 。 这 便 是 目前 应 用 
系统 的 发 展 方向 。 

B/S (Browser/Server) 结构 即 浏览 器 /服务 器 结构 。 它 是 随 着 Internet 技术 的 兴起 ， 对 
C/S 结构 的 一 种 变化 或 者 改进 的 结构 。 在 这 种 结构 下 ， 用 户 工 作 界面 是 通过 WWW 浏览 器 
来 实现 的 ， 极 少 部 分 事务 逻辑 在 前 端 即 浏览 器 端 实现 ， 主 要 事务 逻辑 在 服务 器 端 实现 。 这 
样 就 大 大 简化 了 客户 端 电 脑 负 荷 ， 减 轻 了 系统 维护 与 升级 的 成 本 和 工作 量 ， 降 低 了 用 户 的 
总 体 成 本 。 以 目前 的 技术 看 ， 局 域 网 建立 B/S 结构 的 网 络 应 用 ， 尤 其 是 Internet/Intranet 模 
式 下 的 数据 库 应 用 相对 易于 把 握 ， 成 本 也 较 低 。 它 是 一 次 性 到 位 的 开发 ， 能 实现 不 同 的 人 
员 从 不 同 的 地 点 以 不 同 的 接 入 方式 访问 和 操作 共同 的 数据 库 ， 可 有 效 地 保护 数据 平台 和 管 
理 访问 权限 ， 服 务 器 上 的 数据 库 也 很 安全 。 

(2) C/S 与 B/S 模式 的 区 别 

@ 硬件 环境 不 同 。Client/Server 是 建立 在 局 域 网 基础 上 的 ， Browser/Server 是 建立 在 广 
域 网 基础 上 的 。 

@ 对 安全 性 要 求 不 同 。C/S 模式 一 般 面 向 相对 固定 的 用 户 群 ， 对 信息 安全 的 控制 能 力 
很 强 。B/S 模式 建立 在 广域网 之 上 ， 面 向 不 可 知 的 用 户 群 ， 对 安全 的 控制 能 力 相 对 比较 弱 。 
一 般 高 度 机 密 的 信息 系统 采用 C/S 模式 比较 适宜 ， 而 B/S 模式 适合 发 布 部 分 可 公开 信息 。 

@ 程序 架构 不 同 。C/S 程序 更 加 注重 流程 ， 可 以 对 权限 进行 多 层次 校 验 ， 对 系统 运行 
速度 可 以 较 少 考虑 ，B/S 模式 对 安全 性 以 及 访问 速度 的 多 重 考虑 ， 建 立 在 需要 更 加 优化 的 
基础 之 上 ， 比 C/S 模式 有 更 高 的 要 求 。 

@ 软件 重用 不 同 。C/S 构件 的 重用 性 不 如 在 B/S 模式 下 构件 的 重用 性 好 。 

@ 系统 维护 开销 不 同 。 系 统 维护 在 软件 生存 周期 中 开销 大 ， 相 当 重 要 。C/S 程序 由 于 
整体 性 ， 必 须 整 体 考察 、 处 理 出 现 的 问题 以 及 系统 升级 困难 ; B/S 构件 组 成 方面 ， 可 以 更 
换个 别 的 构件 ， 实 现 系统 的 无 颖 升级 ， 将 系统 维护 开销 减 到 最 小 。 

@ 处 理 问 题 不 同 。C/S 程序 可 以 处 理 的 用 户 群 固定 , 并 且 在 相同 区 域 , 安全 性 要 求 高 ， 
与 操作 系统 平台 相关 ; B/S 模式 建立 在 广域网 上 ， 面 向 不 同 的 用 户 群 ， 地 域 分 散 ， 这 是 C/S 
模式 无 法 做 到 的 ， 与 操作 系统 平台 的 联系 最 少 。 

@ 用 户 接 口 不 同 。C/S 模式 多 建立 在 Windows 平台 上 ， 表 现 方法 有 限 ， 对 程序 员 普遍 
要 求 较 高 ，B/S 模式 建立 在 浏览 器 上 ， 有 更 加 丰富 和 生动 的 表现 方式 与 用 户 交 流 ， 并 且 大 
部 分 难度 比较 低 ， 开 发 成 本 比较 低 。 

信息 流 不 同 。C/S 程序 一 般 是 典型 的 中 央 集 权 的 机 械 式 处 理 ， 交 互 性 相对 比较 低 ; 
B/S 信息 流向 可 变化 ， 有 B 一 B、B 一 C 等 信息 流向 的 变化 ， 更 像 交 易 中 心 。 

由 于 以 上 区 别 ，Web 数据 库 中 的 C/S 模式 通过 合理 的 任务 分 工 和 协同 操作 ， 可 以 充分 
发 挥 数据 库 服 务 器 和 客户 机 独立 的 处 理 功能 , 在 一 些 大 型 企业 中 得 到 了 广泛 的 应 用 ; 而 B/S 
模式 以 其 开放 、 与 软 硬 件 平台 无 关 等 特点 ， 使 其 在 Internet 环境 中 得 到 了 大 量 的 应 用 。 
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3. Web 数据 库 访问 技术 
Web 页 面 与 数据 库 的 连接 是 Web 数据 库 的 基本 要 求 。 目 前 基于 Web 数据 库 的 连接 方 

案 主要 有 两 种 类 型 : 服务 器 端 和 客户 端 方案 。 服 务 器 端 方案 实现 技术 有 CGI、SAPI、ASP、 
PHP、JSP 等 ; 客户 端 方案 实现 技术 有 JDBC (Java Database Connectivity)、DHTML (Dynamic 
HTML) 等 。 

(1) 公共 网 关 接 口 (Common Gateway Interface，CGI): Web 服务 器 运行 时 外 部 程序 
的 规范 。 按 照 CGI 编写 的 程序 可 以 扩展 服务 器 的 功能 ， 完 成 服务 器 本 身 不 能 完成 的 工作 ， 
外 部 程序 执行 时 可 以 生成 HTML 文档 , 并 将 文档 返回 Web 服务 器 。CGI 程序 的 常用 语言 
Perl、C++、VB、Delphi。 其 缺点 是 每 个 CGI 程序 应 用 是 作为 一 个 独立 的 外 部 应 用 来 运行 
的 ， 与 服务 器 上 其 他 程序 竞争 处 理 器 资源 ， 这 将 导致 运行 速度 减 慢 ， 同 时 也 不 提供 状态 管 
理 功能 ， 浏 览 器 的 每 次 请 求 都 需要 一 个 连接 的 建立 与 释放 过 程 ， 效 率 较 低 。 

(2) 服务 器 端 应 用 程序 编程 接口 (Server Application Programming Interface，SAPI): 
与 CGI 功能 相同 ， 也 可 用 于 实现 扩展 服务 器 功能 。 它 实际 上 是 一 组 用 于 完成 特定 功能 的 很 
复杂 的 函数 、 消 息 和 结构 ， 包 含 在 一 个 扩展 名 为 DLL 的 动态 链接 库 文 件 中 。 与 CGI 相 比 ， 
性 能 上 有 了 很 大 的 提高 ， 但 开发 需 编程 方面 的 专门 知识 。 

(3) 超 文本 预 处 理 器 (Hypertext Preprocessor，PHP): 由 于 其 良好 的 性 能 及 免费 的 特 
点 ， 成 为 目前 互联 网 中 非常 流行 的 一 种 应 用 开发 平台 。 其 优点 是 简单 易学 、 跨 平台 、 有 和 良 
好 数据 库 交换 能 力 的 开发 语言 和 良好 的 安全 性 。 而 缺点 就 是 安装 配置 复杂 ; 缺少 企业 级 的 
支持 ;作为 自由 软件 ， 缺 乏 正规 的 商业 支持 ;无 法 实现 商品 化 的 软件 开发 。 

(4) ASP (Activex Server Pages) 是 由 微软 创建 的 Web 应 用 开发 标准 。ASP 服务 器 已 
经 包含 在 IS 服务 器 中 。ASP 服务 器 将 Web 请 求 转 入 解释 器 ， 在 解释 器 中 将 所 有 ASP 中 
的 脚本 进行 分 析 ， 然 后 执行 ， 同 时 可 以 创建 COM 对 象 以 完成 更 多 的 功能 。ASP 中 的 脚本 
语言 是 VbScript。 其 优点 是 安装 和 配置 方便 ， 开 发 简单 易学 ， 开 发 工具 功能 强大 ， 而 缺点 
是 ASP 使 用 了 组 件 ， 因 而 可 能 会 导致 大 量 的 安全 问题 ， 且 无 法 实现 跨 平 台 移 植 ， 只 能 应 用 
于 Windows NT 或 Windows 系统 。 


4.4.2 常用 的 几 种 Web 数据 库 


当前 比较 流行 的 Web 数据 库 主 要 有 : SQL Server、MySQL 和 Oracle。 这 3 种 数据 库 适 
应 性 强 、 性 能 优异 、 容 易 使 用 ， 在 国内 得 到 了 广泛 的 应 用 。 
SQL Server 是 微软 公司 从 Sybase 获得 基本 部 件 的 使 用 许可 后 开发 出 来 的 一 种 关系 型 数 
据 库 。 于 均 出 自 微软 之 手 ， 使 得 SQL Server 和 Windows、IIS 等 产品 有 着 天 然 的 联系 。 
事实 上 ， 以 Windows 为 核心 的 几乎 所 有 微软 的 软件 产品 都 采用 了 一 致 的 开发 策略 ， 包 括 界 
面 技术 、 面 向 对 象 技术 、 组 件 技术 等 ,这 样 在 微软 公司 开发 的 软件 中 很 多 都 可 以 相互 调用 ， 
而 且 配 合 得 非常 密切 。 因 此 ， 如 果 用 户 使 用 的 是 Windows 操作 系统 ， 那 么 IS、SQL Server 
就 应 该 是 最 佳 的 选择 。 

MySQL 是 当今 UNIX 或 Linux 类 服务 器 上 广泛 使 用 的 Web 数据 库 系统 。 它 支持 大 部 
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分 的 操作 系统 平台 ， 设 计 思想 快捷 、 高 效 、 实 用 。 虽 然 它 对 ANSI SQL 标准 的 支持 并 不 完 
善 ， 但 支持 所 有 常用 的 内 容 ， 完 全 可 以 胜任 一 般 Web 数据 库 的 工作 。 由 于 它 不 支持 事务 处 
理 ，MySQL 的 速度 比 一 些 商业 数据 库 快 2 一 3 倍 ， 并 且 MySQL 还 针对 很 多 操作 系统 平台 
作 了 优化 ， 完 全 支持 多 CPU 系统 的 多 线程 方式 。 在 编程 方面 ，MySQL 也 提供 了 C、C++、 
Java、Perl、Python 和 TCL 等 API 接口 , 而 且 提 供 了 MyODBC 接口 , 任何 可 以 使 用 ODBC 
接口 的 语言 都 可 以 使 用 它 。 更 重要 的 是 ，MySQL 的 源 代码 是 公开 的 ， 可 以 免费 使 用 ， 这 就 
使 得 MySQL 成 为 许多 中 小 型 网 站 、 个 人 网 站 追捧 的 明星 。 

Oracle 是 Oracle 公司 开发 的 一 种 面向 网 络 计 算 机 并 支持 对 象 一 关系 模型 的 数据 库 产 
品 。 它 是 以 高 级 结构 化 查询 语言 为 基础 的 大 型 关系 数据 库 ， 是 目前 最 流行 的 客户 /服务 器 体 
系 机 构 的 数据 库 之 一 。 

Oracle 之 所 以 备 受用 户 喜爱 ， 是 因为 它 具 有 以 下 突出 的 特点 。 

(1) 支持 大 型 数据 库 、 多 用 户 和 高 性 能 的 事务 处 理 。Oracle 支持 的 最 大 数据 库 ， 可 达 
几 百 千 兆 ， 可 充分 利用 硬件 设备 ;支持 大 量 用 户 同时 对 数据 库 执 行 各 种 数据 操作 ， 并 保证 
数据 一 致 性 ; 系统 维护 具有 很 高 的 性 能 ，Oracle 每 天 可 连续 24 小 时 工作 ， 正 常 的 系统 操作 
过 程 中 不 会 中 断 数 据 库 的 应 用 ， 可 在 数据 库 级 或 子 数据 库 级 上 控制 数据 的 可 用 性 。 

(2) Oracle 遵循 数据 库存 取 语 言 、 操 作 系 统 、 用 户 接 口 和 网 络 通信 协议 的 工业 标准 ， 
所 以 它 是 一 个 开放 系统 ， 保 护 了 用 户 的 投资 。 美 国标 准 化 和 技术 研究 所 (NIST) 对 Oracle 
Server 进行 过 检验 ， 完 全 与 ANSIISO SQL89 标准 相 兼容 。 

(3) 实施 安全 性 控制 和 完整 性 控制 。Oracle 为 限制 系统 对 各 监控 数据 库 的 存 取 提供 了 
可 靠 的 安全 性 ， 并 为 可 接受 的 数据 指定 标准 ， 保 证 数据 的 完整 性 。 

(4) 支持 分 布 式 数 据 库 和 分 布 式 处 理 。Oracle 为 了 充分 利用 计算 机 系统 和 网 络 ， 人 允许 
将 处 理 分 为 数据 库 服务 器 和 客户 应 用 程序 处 理 ， 所 有 共享 的 数据 管理 由 数据 库 管 理 系统 的 
计算 机 处 理 ， 而 运行 数据 库 应 用 的 工作 站 集中 于 解释 和 显示 数据 。 通 过 网 络 连接 环境 ， 
Oracle 将 存放 在 多 台 计 算 机 上 的 数据 组 合成 一 个 逻辑 数据 库 ， 可 被 全 部 网 络 用 户 存 取 。 分 
布 式 系统 像 集中 式 数 据 库 一 样 具 有 透明 性 和 数据 一 致 性 。 

上 面 介 绍 的 3 种 数据 库 产品 是 目前 最 常用 的 3 种 大 型 关系 数据 库 系 统 ， 它 们 虽然 在 体 
系 结构 和 操作 方法 上 有 许多 相似 的 地 方 ， 但 是 在 应 用 环境 上 还 是 各 有 侧重 的 。 一 个 应 用 系 
统 在 选用 数据 库 时 ， 性 能 和 价格 是 首先 要 考虑 的 两 个 因素 。 从 用 户 的 技术 水 平 以 及 国内 软 
件 应 用 的 现状 来 看 ，SQL Sever 应 该 是 一 个 较 好 的 选择 。 


4.4.3 Web 数据 库 安 全 简介 


Web 数据 库 是 数据 库 技术 与 Web 技术 的 结合 ， 其 中 存在 很 多 安全 隐患 。 例 如 ， 通 过 网 
络 传输 的 用 户 名 和 密码 很 容易 被 人 窃取 ， 用 户 读 取 的 数据 可 能 被 截取 、 自 改 等 。 如 何 保障 
Web 数据 库 的 安全 运行 呢 ? 

要 保障 Web 数据 库 的 安全 运行 ， 必 须 从 以 下 几 个 方面 入 手 ， 构 建 一 套 安 全 的 访问 控制 
模式 ， 如 图 4-6 所 示 。 


三 计算 机 网 络 安全 技术 与 应 用 


用 户 标识 和 鉴别 


(口令 密 文 ) 访问 控制 


数据 库 应 用 程序 


加 密 访问 ”存储 审计 
存储 控制 ”过程 ”追踪 


图 4-6 ”数据库 系 统 安全 控制 模式 
1， 建立 安全 模型 


通常 ， 安 全 措施 贯穿 于 计算 机 系统 中 用 户 从 使 用 数据 库 应 用 程序 一 直到 访问 后 台数 据 
库 所 要 经 过 的 安全 认证 过 程 。 当 用 户 访 问 数据 库 时 ， 首 先 通 过 数据 库 应 用 程序 进入 到 数据 
库 系统 ， 这 时 数据 库 应 用 程序 会 将 用 户 提交 的 用 户 名 与 口令 (口令 密 文 ) 交 给 数据 库 管理 
系统 进行 认证 ， 在 确定 其 身份 合法 后 ， 才 能 进行 下 一 步 操作 。 当 要 对 数据 库 中 的 对 象 〈 例 
如 表 、 视 图 、 触 发 器 、 存 储 过 程 等 ) 进行 操作 时 ， 也 必须 通过 数据 库 访 问 的 身份 认证 ， 只 
有 通过 了 数据 库 的 身份 认证 才能 对 数据 库 对 象 进行 实际 的 操作 。 

通过 身份 认证 的 用 户 ， 只 是 拥有 了 进入 应 用 系统 和 数据 库 的 “凭证 ” 但 用 户 在 应 用 系 
统 和 数据 库 中 可 以 进行 什么 样 的 操作 ， 还 要 依靠 “访问 控制 ”和 “ 存 取 控 制 ” 的 权限 分 配 
和 约束 。 其 中 “访问 控制 ”与 应 用 系统 相关 ， 决 定 当前 用 户 可 以 对 应 用 系统 中 哪些 模块 、 
模块 中 的 哪些 工作 流程 进行 管理 ;“ 存 取 控制 ”与 数据 库 相 关联 ， 决 定 当前 用 户 可 以 对 数据 
库 中 的 哪些 对 象 进行 操作 ， 以 及 可 以 进行 何 种 操作 。 虽 然 “ 访 问 控制 ”和 “ 存 取 控 制 ” 可 
以 将 用 户 的 应 用 系统 访问 范围 最 小 化 、 数 据 对 象 操作 权限 最 低 化 ,但 是 就 数据 库 本 身 而 言 
利用 这 种 视图 、 触 发 器 、 存 储 过 程 等 方法 来 保护 数据 和 对 一 些 敏 感 数 据 的 “加 密 存储 ”也 
是 数据 库 管理 系统 提供 的 安全 策略 。 

2. 审计 追踪 和 数据 备份 

目前 还 没有 任何 一 种 可 行 的 方法 来 彻底 解决 合法 用 户 在 通过 身份 认证 后 滥用 特权 的 问 
题 ， 但 审计 追踪 仍 是 保证 数据 库 安 全 不 可 缺少 的 一 道 重 要 防线 。 

审计 是 一 种 监视 措施 ， 可 跟踪 记录 有 关 数 据 的 访问 活动 。 审 计 追 踪 把 用 户 对 数据 库 的 
所 有 操作 自动 记录 下 来 ， 存 放 在 审计 日 志 中 。 记 录 的 内 容 一 般 包括 : 操作 类 型 〈 例 如 修改 、 
查询 、 删 除 )、 操 作 终 端 标识 与 操作 者 标识 、 操 作 日 期 和 时 间 以 及 操作 所 涉及 到 的 相关 数据 
〈 例 如 基本 表 、 视 图 、 记 录 、 属 性 ) 等。 利用 这 些 信 息 ， 可 以 进一步 找 出 非法 存 取 数据 库 
的 人 、 时 间 和 内 容 等 。 


3. 数据 库 备份 恢复 策略 
计算 机 同 其 他 设备 一 样 ， 都 可 能 发 生 故 障 。 计 算 机 发 生 故 障 的 原因 多 种 多 样 ， 包 括 磁 
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盘 故 障 、 电 源 改 障 、 软 件 故障 、 灾 害 故障 以 及 人 为 破坏 等 。 一 旦 发 生 这 种 情况 ， 就 可 能 ; 
成 数据 库 中 数据 的 丢失 。 因 此 ， 针 对 数据 库 系 统 必须 采取 必要 的 措施 ， 以 保证 发 生 故 障 时 
可 以 恢复 数据 库 。 数 据 库 管理 系统 的 备份 和 恢复 机 制 就 是 保证 在 数据 库 系统 出 现 故 障 时 ， 
能 够 将 数据 库 系统 还 原 到 正常 的 状态 。 

数据 备份 建立 元 余数 据 ) 是 指定 期 或 不 定期 地 对 数据 库 进行 复制 。 可 以 将 数据 复制 
到 本 地 机 器 上 ， 也 可 以 复制 到 其 他 机 器 上 。 恢 复方 法 通常 是 利用 备份 技术 、 事 务 日 志 技术 、 
镜像 技术 来 完成 。 

4， 视 图 机 制 和 数据 加 密 


为 不 同 的 用 户 定义 不 同 的 视图 ， 可 以 限制 各 个 用 户 的 访问 范围 。 通 过 视图 机 制 可 把 要 
保护 的 数据 对 无 权 存 取 这 些 数 据 的 用 户 隐 藏 起 来 ， 从 而 自动 地 对 数据 库 提 供 一 定 程度 的 安 
全 保护 。 但 是 视图 机 制 的 安全 性 保护 不 太 精 细 ， 往 往 不 能 达到 应 用 系统 的 要 求 ， 其 主要 功 
能 在 于 提供 了 数据 库 的 逻辑 独立 性 。 在 实际 应 用 中 ， 通 常 将 视图 机 制 与 授权 机 制 结合 起 来 
使 用 ， 首 先 用 视图 机 制 屏蔽 一 部 分 保密 数据 ， 然 后 在 授权 机 制 下 进一步 定义 存 取 权 限 。 

数据 加 密 是 防止 数据 库 中 数据 在 存储 和 传输 中 失 密 的 有 效 手 段 。 加 密 的 基本 思想 是 根 
据 一 定 的 算法 将 原始 数据 (明文 ) 加 密 成 不 可 直接 识别 的 格式 〈 密 文 )， 数 据 以 密 文 的 方式 
存储 和 传播 。 

Web 数据 库 的 安全 威胁 涉及 许多 方面 ， 是 一 个 全 局 性 的 问题 ， 而 且 黑 客 的 攻击 手段 和 
方法 不 断 翻 新 ， 因 此 要 根据 企业 的 实际 需求 综合 考虑 各 种 技术 ， 构 建 一 个 有 机 的 结合 体 。 
同时 也 要 清醒 地 认识 到 一 个 很 好 的 安全 解决 方案 不 仅 是 纯粹 的 技术 问题 , 而 且 还 需要 法 律 、 
管理 、 社 会 因素 的 配合 。 


4.5 ”SQL Server 数据 库 的 安全 


对 于 数据 库 管理 来 说 ， 保 护 数 据 不 受 内 部 和 外 部 侵害 是 一 项 重要 的 工作 。 目 前 比较 流 
行 的 主流 数据 库 非 Microsoft SQL Server 莫 属 ， 下 面 就 来 深入 地 了 解 一 下 。 

图 4-7 给 出 了 SQL Server 的 安全 控制 策略 示意 图 。 从 中 可 以 看 到 ，SQL Server 的 安全 
控制 策略 是 一 个 层次 结构 系统 的 集合 ， 只 有 满足 上 一 层 系统 的 安全 性 要 求 之 后 ， 才 可 以 进 
入 下 一 层 。 


第 一 层 第 二 层 第 三 层 第 四 层 
Windows NT Windows NT SQL Server 数据 库 用 
域 级 安全 性 计算 机 级 安全 性 登录 安全 性 己 和 权限 
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图 4-7 SQL Server 安全 性 控制 策略 示意 图 
各 层 SQL Server 安全 控制 策略 是 通过 各 层 安 全 控制 系统 的 身份 验证 实现 的 。 身 份 验证 
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是 指 当 用 户 访问 系统 时 ， 系 统 对 该 用 户 的 账号 和 口令 的 确认 过 程 。 身 份 验证 的 内 容 包 括 确 
认 用 户 的 账号 是 否 有 效 、 能 和 否 访问 系统 、 能 访问 系统 的 哪些 数据 等 。 

身份 验证 方式 是 指 系统 确认 用 户 的 方式 。SQL Server 系统 是 基于 Windows NT 或 
Windows 操作 系统 的 , 现在 的 SQL Server 系统 安装 在 Windows 系统 之 上 (此 时 将 没有 第 一 
层 和 第 二 层 的 安全 性 控制 )，Windows NT 或 Windows 对 用 户 有 自己 的 身份 验证 方式 ， 用 户 
必须 提供 自己 的 用 户 名 和 相应 的 口令 才能 访问 Windows NT 或 Windows 系统 。 

这 样 ，SQL Server 的 系统 安全 可 在 任何 服务 器 上 通过 两 种 方式 实现 一 一 SQL Server 和 
Windows 结合 使 用 以 及 只 使 用 Windows。 访 问 Windows NT 或 Windows 系统 的 用 户 能 否 访 
问 SQL Server 系统 ， 就 取决 于 SQL Server 系统 身份 验证 方式 的 设置 。 

1. 用 户 标 识 与 验证 
用 户 标 识 和 验证 是 系统 提供 的 最 外 层 安 全 保护 措施 。 其 方法 是 由 系统 提供 一 定 的 方式 
让 用 户 标示 自己 的 名 字 或 身份 。 每 次 用 户 要 求 进 入 系统 时 ， 由 系统 进行 核对 ， 通 过 验证 后 
才 提 供 机 器 使 用 权 。 对 于 获得 上 机 权 的 用 户 ， 若 要 使 用 数据 库 ， 数 据 库 管 理 系 统 还 要 进行 
用 户 标识 和 鉴定 。 

用 户 标 识 和 验证 的 方法 有 很 多 种 ， 而 且 在 一 个 系统 中 往往 是 多 种 方法 并 举 ， 以 获得 更 
强 的 安全 性 。 常 用 的 方法 有 : 

(1) 用 一 个 用 户 名 或 者 用 户 标 识 号 来 标明 用 户 身 份 。 系统 内 部 记录 着 所 有 合法 用 户 的 
标识 ， 用 户 要 求 进入 系统 时 ， 系 统 将 验证 此 用 户 是 否 是 合法 用 户 。 若 是 ， 则 可 以 进入 下 一 
步 的 核实 ， 若 不 是 ， 则 不 能 使 用 系统 。 


输入 的 口令 不 显示 在 屏幕 上 。 系 统 核对 口令 以 验证 用 户 身 份 。 

用 户 标识 与 验证 在 SQL Server 中 对 应 的 是 Windows NT 或 Windows 登录 账号 和 口令 以 
及 SQL Server 用 户 登 录 账 号 和 口令 。 

2. SQL Server 身份 验证 方式 

用 户 必 须 使 用 一 个 登录 账号 ， 才 能 连接 到 SQL Server 中 。SQL Server 可 以 识别 两 种 身 
份 验证 方式 ， 即 SQL Server 身份 验证 方式 和 Windows 身份 验证 方式 ， 如 图 4-8 所 示 。 这 两 
种 方式 都 有 自己 的 登录 账号 类 型 。 


一 > 
SQL Server| 
SQL Server 登录 账号 呈 一 【数据 库 


图 4-8 SQL Server 系统 身份 验证 方式 示意 图 
当 使 用 SQL Server 身份 验证 方式 时 , 由 SQL Server 系统 管理 员 定 义 SQL Server 账号 和 
口令 。 当 用 户 连接 SQL Server 时 ， 必 须 提供 登录 账号 和 口令 。 当 使 用 Windows 身份 验证 方 
式 时 ， 由 Windows NT 或 Windows 系统 管理 员 决 定 账号 用 户 对 SQL Server 系统 的 访问 。 这 
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时 用 户 不 必 提 供 SQL Server 的 Login 账号 和 口令 就 能 连接 到 系统 上 ， 但 是 在 该 用 户 连接 之 
前 ,SQL Server 系统 管理 员 必 须 将 Windows NT 或 Windows 账号 /组 定义 为 SQL Server 的 有 
效 登 录 账 号 。 

SQL Server 在 Windows NT 或 Windows 上 运行 时 ， 系 统管 理 员 必 须 指定 系统 的 身份 验 
证 方式 。SQL Server 的 身份 验证 方式 有 两 种 ， Windows 身份 验证 方式 和 混合 方式 。 

当 使 用 Windows 身份 验证 方式 , 用 户 无 法 以 SQL Server 的 登录 账号 登录 服务 器 。 它 要 
求 用 户 登 录 到 Windows NT 或 Windows， 当 用 户 访问 SQL Server 时 ， 不 用 再 次 登录 。 虽 然 
用 户 仍 会 被 提示 登录 ， 但 SQL Server 的 用 户 名 会 自动 从 用 户 网 络 登录 ID 中 提取 。 这 种 集 
成 登录 只 能 在 用 命名 管道 连接 客户 机 /服务 器 时 使 用 。 

而 混合 身份 验证 方式 既 允 许 使 用 Windows 身份 验证 方式 , 又 允许 使 用 SQL Server 身份 
验证 方式 。 
3. Windows 身份 验证 方式 


Windows 身份 验证 方式 最 适用 于 只 在 部 门 访 问 数据 库 的 情况 。 与 SQL Server 身份 验证 


方式 相 比 ，Windows 身份 验证 方式 具有 下 列 优 点 。 
@ ”提供 了 更 多 的 功能 ， 例 如 安全 确认 和 口令 加 密 、 审 核 、 口 令 失效 、 最 小 口令 长 度 
和 账号 锁定 。 


@ ”通过 增加 单个 登录 账号 ， 人 允许 在 SQL Server 系统 中 增加 用 户 组 。 
@ ”允许 用 户 迅 速 访问 SQL Server 系统 ， 而 不 必 使 用 另 一 个 登录 账号 和 口令 。 
SQL Server 系统 按照 下 列 步骤 处 理 Windows 身份 验证 方式 中 的 登录 账号 : 

(1) 当 用 户 连接 到 Windows NT 或 Windows 系统 中 时 , 客户 机 打开 一 个 到 SQL Server 
系统 的 委托 连接 。 该 委托 连接 将 Windows NT 或 Windows 的 组 和 用 户 账号 传送 到 SQL Server 
系统 中 。 因 为 客户 机 打开 了 一 个 委托 连接 ， 所 以 SQL Server 系统 知道 Windows NT 或 
Windows 已 经 确认 该 用 户 有 效 。 

(2) 如 果 SQL Server 系统 在 系统 表 syslogins 的 SQL Server 用 户 清单 中 找到 该 用 户 的 
Windows NT 或 Windows 用 户 账号 或 者 组 账号 ,就 接受 这 次 身份 验证 连接 。 这 时 , SQL Server 
系统 不 需要 重新 验证 口令 是 否 有 效 ， 因 为 Windows NT 或 Windows 已 经 验证 用 户 的 口令 是 
有 效 的 。 

(3) 在 这 种 情况 下 ， 该 用 户 的 SQL Server 系统 登录 账号 既 可 以 是 Windows NT 或 
Windows 的 用 户 账 号 ， 也 可 以 是 Windows NT 或 Windows 组 账号 。 当 然 ， 这 些 用 户 账号 或 
者 组 账号 都 已 定义 为 SQL Server 系统 登录 账号 。 

(4) 如 果 多 个 SQL Server 机 器 在 一 个 域 或 者 在 一 组 信任 域 中 ， 那 么 登录 到 单个 网 络 
域 上 ， 就 可 以 访问 全 部 的 SQL Server 机 器 。 

4. 混合 方式 

混合 方式 最 适合 用 于 外 界 用 户 访问 数据 库 或 不 能 登录 到 Windows 域 时 。 

混合 方式 的 SQL Server 身份 验证 方式 有 下 列 优 点 : 混合 方式 允许 非 Windows NT 或 
Windows 客户 、Internet 客户 和 混合 的 客户 组 连接 到 SQL Server 中 ; SQL Server 身份 验证 方 
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式 又 增加 了 一 层 基于 Windows 的 安全 保护 。 
SQL Server 按照 下 列 步 又 处 理 自己 的 登录 账号 : 
(1) 当 一 个 使 用 SQL Server 账号 和 口令 的 用 户 连 接 SQL Server 时 ，SQL Server 验证 
该 用 户 是 否 在 系统 表 syslogins 中 且 其 口令 是 否 与 以 前 记录 的 口令 匹配 。 
(2) 如 果 在 系统 表 syslogins 中 没有 该 用 户 账号 或 口令 不 正确 ， 那 么 这 次 身份 验证 失 
败 ， 系 统 拒 绝 该 用 户 的 连接 。 
SQL Server 提供 了 多 层 安 全 。 在 最 外 层 , SQL Server 的 登录 安全 性 直接 集成 到 Windows 
NT 或 Windows 的 安全 特性 中 ， 人 允许 Windows NT 服务 器 验证 用 户 。 使 用 这 种 Windows 验 
证 ，SQL Server 就 可 以 利用 Windows NT 或 Windows 的 安全 特性 ， 例 如 安全 验证 和 密码 加 
密 、 审 核 、 密码 过 期 、 最 短 密码 长 度 , 以 及 在 多 次 登录 请 求 无 效 后 锁定 账号 。 有 关 SQL Server 
安全 性 的 具体 设置 方式 ， 可 参阅 相关 书籍 ， 在 此 不 作 介绍 。 


小 结 


本 章 通 过 对 数据 库 管理 系统 的 概述 ， 介 绍 了 数据 库 管理 系统 存在 的 各 种 缺陷 ， 例 如 账 
号 、 密 码 的 泄漏 和 操作 系统 后 门 等 。 同 时 ， 介 绍 了 数据 库 管 理 系统 面临 的 数据 自 改 、 损 坏 
和 窍 取 等 威胁 ， 说 明 数 据 库 安 全 的 重要 性 。 通 过 对 数据 库 安 全 的 重要 性 和 引发 数据 库 安全 
性 问题 的 分 析 ， 提 出 了 用 户 标识 和 鉴别 、 存 取 控制 、 用 户 授权 和 角色 分 配 等 有 效 的 数据 库 
安全 控制 机 制 ， 详 细 介绍 了 网 络 系统 、 宿 主 操作 系统 和 数据 库 管理 系统 3 种 不 同 数据 库 安 
全 保护 层次 下 的 保护 措施 。 同 时 ， 分 析 了 Web 数据 库 安全 的 重要 性 , 介绍 了 Web 数据 库 的 
B/S 和 C/S 两 种 模型 结构 ， 简 要 介绍 了 目前 主要 的 Web 数据 库 访问 技术 和 常用 的 几 种 Web 
数据 库 ， 并 对 广泛 应 用 的 SQL Server 数据 库 的 安全 性 要 求 作 了 简单 分 析 。 


练习 与 思考 


什么 是 数据 库 的 安全 性 ? 

试 述 数据 库 安 全 的 重要 性 ， 说 明 数 据 库 安全 所 面临 的 威胁 。 
数据 库 安 全 性 和 计算 机 系统 的 安全 性 有 什么 关系 ? 

试 述 实现 数据 库 安 全 控制 的 常用 方法 和 技术 。 

什么 是 数据 库 中 的 自主 存 取 控制 方法 和 强制 存 取 控制 方法 ? 
数据 库 中 采用 了 哪些 安全 技术 和 保护 措施 ? 

常用 数据 库 加 密 技 术 有 哪儿 种 ? 

简要 介绍 Web 数据 库 系统 的 C/S 和 B/S 基本 模型 结构 。 

. 简 述 数据 备份 的 方法 和 策略 。 

10. 简 述 SQL Server 的 安全 控制 策略 。 
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理 公 钥 ， 通 过 第 三 方 的 可 信任 机 构 


钥 和 


PKI 技 术 


本 章 学 习 要 求 : 


(1) 理解 口令 面临 的 安全 威胁 ， 掌 握 安 全 口令 的 创建 和 维护 。 

(2) 掌握 身份 识别 与 鉴别 的 概念 及 身份 识别 技术 ， 理 解 生物 身份 认证 技术 。 
(3) 掌握 PKI 的 基本 概念 ， 了 解 网 络 中 传输 信息 的 安全 要 求 。 

(4) 掌握 PKI 的 服务 功能 和 实体 构成 。 

(5) 掌握 CA 的 相关 概念 、 功 能 和 组 成 。 

(6) 掌握 数字 证 书 的 相关 概念 。 

(7) 掌握 CA 的 密 钥 管理 和 KMC 及 时 间 戳 服务。 

(8) 了 解 CA 对 数字 证 书 的 管理 。 

(9) 了 解 PKI 的 相关 标准 。 

(10) 了 解 PKI 的 应 用 。 


(1) 重点 : 身份 识别 与 鉴别 的 概念 及 身份 识别 技术 。 
(2) 难点 : 数字 证 书 的 相关 概念 、CA 的 密 钥 管理 和 KMC 及 时 间 惟 服务 。 


目前 ， 被 广泛 采用 的 公 钥 基础 设施 (Public Key Infrastructure，PKI) 技术 采用 证 书 管 
认证 中 心 (Certificate Authority，CA) 把 用 户 的 公 
户 的 其 他 标识 信息 〈 例 如 名 称 、E-mail、 身 份 证 号 等 ) 捆绑 在 一 起 。 通 过 Internet 的 


CA 机 构 ， 较 好 地 解决 了 密 钥 的 分 发 和 管理 问题 ， 并 通过 数字 证 书 ， 对 传输 的 数据 进行 加 密 
和 鉴别 ， 保 证 了 信息 传输 的 机 密 性 、 真 实 性 、 完 整 性 和 不 可 否认 性 。 目 前 ，PKI 的 安全 认 
证 体系 得 到 了 各 界 人 士 的 普遍 关注 。 国 外 一 些 大 的 网 络 安全 公司 也 都 推出 了 基于 PKI 的 产 
品 ， 例 如 美国 的 VeriSign、IBM 以 及 加 拿 大 的 Entrust、SUN 等 ， 为 用 户 之 间 的 内 部 信息 交 
互 提供 了 安全 保障 。 


口令 是 用 于 身份 标识 和 身份 认证 的 一 种 凭证 ， 以 密码 理论 为 基础 的 身份 认证 和 鉴别 是 


访问 控制 和 审计 的 前 提 ， 对 网 络 环境 下 的 信息 安全 尤其 重要 ， 而 PKI 为 此 提供 了 全 面 的 解 
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决 方案 。 本 章 就 从 口令 和 身份 认证 的 基本 要 领 谈 起 ， 然 后 详细 介绍 PKI 的 相关 知识 。 
5.1 口令 安全 


口令 机 制 是 一 种 最 简单 、 最 常用 的 系统 或 应 用 程序 访问 控制 的 方法 。 因 为 这 种 认证 用 
户 的 方法 简单 、 实 现 容易 而 且 消耗 系统 资源 少 ， 至 今 仍 在 广泛 地 使 用 着 。 随 着 计算 机 和 网 
络 的 日 益 普及 ， 个 人 计算 机 的 安全 问题 变 得 越 来 越 重要 。 人 们 普遍 使 用 口令 来 限制 访问 权 
限 ; 为 了 提高 安全 性 ， 必 须 使 用 那些 难以 猜测 且 难 以 记忆 的 口令 ， 在 不 同 的 应 用 (如 拨号 
上 网 、 电 子 邮 件 、 网 站 登录 BBS、FTP、 各 种 应 用 程序 等 ) 中 使 用 不 同 的 口令 ， 并 在 使 用 
过 程 中 频繁 更 换 。 用 户 与 大 量 的 口令 打交道 ， 随 之 带 来 口令 的 记忆 与 管理 、 使 用 的 方便 性 
等 一 系列 问题 。 口 令 给 用 户 带 来 了 安全 ， 但 同时 也 增添 了 不 少 烦 恼 。 

在 当前 的 网 络 环境 下 ， 系 统 极其 庞大 ， 成 百 上 千 台 机 器 之 间 相互 通信 ， 认 证 类 型 更 加 
多 样 化 ， 例 如 客户 机 和 服务 器 之 间 的 相互 认证 、 客 户 机 和 应 用 程序 间 的 相互 认证 ; 并 且 在 
网 络 环境 下 ， 认 证 的 双方 一 般 相 隔 较 远 ， 相 互 间 的 信息 交流 都 是 明文 传输 ， 必 然 对 认证 又 
提出 了 更 高 的 要 求 ， 甚 至 使 用 更 强 的 密码 算法 和 更 安全 的 协议 。 相 应 地 ， 口 令 认 证 也 增加 
了 新 的 要 求 与 内 容 ， 如 远程 口令 认证 、 分 布 式 的 口令 认证 等 。 网 络 管理 员 此 时 面临 的 又 一 
负担 是 大 量 的 口令 需要 管理 。 例 如 ， 各 类 用 户 访问 控制 策略 、 方 法 的 选取 ， 所 有 用 户口 令 
机 制 存在 的 可 能 漏洞 检测 。 


5.1.1 口令 的 管理 


几乎 所 有 的 计算 机 及 网 络 系统 、 通 信 系 统 都 需要 口令 ， 以 拥有 易于 实现 的 第 一 级 别 的 
访问 安全 。 

非法 用 户 通过 一 些 手 段 获取 口令 的 过 程 ， 称 为 口令 的 破解 。 口 令 一 旦 被 破解 ， 拥 有 口 
令 的 非法 用 户 即 可 在 网 络 上 做 合法 用 户 所 做 的 一 切 、 得 到 合法 用 户 所 能 得 到 的 一 切 。 例如， 
可 以 冒充 合法 用 户 窍 取 情 报 或 重要 数据 ; 以 合法 用 户 的 身份 ， 冒 用 信息 攻击 其 他 信息 系统 ; 
修改 合法 用 户 的 口令 ,使 合法 用 户 无 法 进入 计算 机 系统 或 登录 ; 假冒 合法 用 户 进行 网 上 交 
易 ， 挥 霍 或 占有 钱财 ， 获 得 合法 用 户 的 个 人 信息 ， 进 行 网 上 诈骗 等 。 总 之 ， 将 会 给 合法 用 
户 的 工作 和 生活 带 来 许多 灾难 ， 甚 至 造成 难以 估量 的 损失 。 

1. 口令 安全 面临 的 威胁 

尽管 目前 许多 计算 机 系统 和 网 络 的 进入 或 登录 都 是 采用 口令 来 防止 非法 用 户 的 入 侵 ， 
然而 口令 系统 却 是 非常 脆弱 的 。 其 安全 威胁 主要 来 自 于 : 

(1) 非法 用 户 利 用 有 问题 而 缺少 保护 的 口令 进行 攻击 

在 计算 机 系统 和 网 络 系统 中 ， 用 户 的 口令 一 般 经 过 加 密 后 将 所 产生 的 字符 串 保 存在 系 
统 中 ， 当 进入 系统 或 登录 网 络 时 ， 用 户 输入 的 口令 也 要 进行 同样 的 加 密 ， 然 后 与 系统 中 保 
存 的 字符 串 进 行 比 较 。 如 果 相 同 ， 则 身份 认证 通过 ; 否则 ， 将 会 拒绝 使 用 。 真 正 的 加 密 过 
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程 是 单 向 的 ， 无 法 被 逆向 解码 ， 也 就 是 说 由 密 文 的 口令 串 不 能 使 用 逆向 算法 得 到 原 口 令 。 
因此 ， 即 便 得 到 了 保存 在 计算 机 中 的 口令 ， 也 很 难 获得 原 口令 。 然 而 黑客 却 可 以 采用 与 原 
加 密 算法 相同 的 仿真 工具 ， 对 假设 的 口令 进行 加 密 ， 再 与 真实 的 口令 密 文 进行 比较 、 分 析 ， 
从 而 获得 口令 ; 或 使 用 口令 攻击 程序 进行 试 猜 来 破解 口令 ， 常 用 的 手段 是 使 用 字典 搜索 法 
和 变 力 穷 举 法 等 。 

由 于 口令 都 是 自然 人 创建 的 ， 人 们 常常 喜欢 使 用 一 些 特定 的 词 ， 黑 客 们 便 将 这 些 词 搜 
集 起 来 形成 口令 字典 。 破 解 口 令 时 ， 先 用 远程 主机 名 找 出 主机 中 用 户 的 账号 ， 然 后 利用 口 
令 攻 击 程 序 进行 试 猜 ， 计 算 机 就 会 自动 地 从 字典 中 取 一 个 词 作为 用 户口 令 进行 尝试 ， 一 个 
词 一 个 词 地 循环 进行 ， 直 至 找到 正确 的 口令 ， 这 就 是 字典 搜索 法 。 用 这 种 方法 破译 口令 的 
概率 是 很 大 的 。 如 果 字 典 搜索 法 不 能 奏效 ， 还 可 以 使 用 蛮 力 穷 举 法 ， 即 将 口令 可 能 的 字符 
数 从 小 到 大 ， 将 所 有 可 能 的 字符 进行 组 合 ( 所 有 可 能 的 组 合 ) ， 以 此 为 口令 进行 搜索 ， 进 
而 得 到 正确 的 口令 。 

(2) 屏蔽 口令 

利用 一 些 特殊 的 程序 ， 跳 过 口令 直接 进入 系统 。 

(3) 窃取 口令 

许多 网 络 中 , 口令 在 网 上 的 传输 是 以 明文 形式 发 送 的 ,一般 的 浏览 器 向 Web 发 送 消息 
也 是 明文 的 ， 使 得 盗窃 者 很 容易 得 到 口令 。 而 有 些 协议 ， 如 HTTP， 即 使 不 是 明文 ， 口 令 
的 破解 也 是 十 分 容易 的 。 

(4) 木马 攻击 

木马 攻击 是 指 在 用 户 毫 无 察觉 的 情况 下 ， 黑 客 将 一 些 特殊 的 程序 趁 用 户 在 网 络 中 下 载 
程序 或 使 用 电子 邮件 时 安装 到 用 户 的 计算 机 中 ， 并 使 其 在 无 意 中 执 行 了 这 些 特殊 的 程序 。 
这 种 程序 一 般 具 有 记录 用 户 的 操作 信息 并 将 其 发 送 到 网 上 或 暂 存 在 硬盘 上 待 用 ， 或 直接 读 
取 内 存 或 磁盘 上 口令 的 功能 。 例 如 ，BO、Netspy 等 就 是 著名 的 木马 程序 。 

(5) 安全 意识 淡薄 

口令 在 使 用 或 存储 时 是 很 容易 泄露 的 。 对 一 般 的 用 户 而 言 ， 一 方面 极 少 接受 过 创建 或 
维护 口令 的 安全 教育 ， 在 选择 口令 时 过 于 简单 ， 使 得 破解 十 分 容易 ; 另 一 方面 ， 缺 少 保护 
口令 的 安全 意识 ， 在 输入 口令 时 毫 无 遮掩 ， 旁 人 可 以 通过 用 户 的 手 型 和 位 置 猜 到 ， 甚 至 能 
够 直接 看 到 输入 的 口令 ;还 有 就 是 在 保存 口令 时 ， 喜 欢 记 在 纸 上 或 本 子 里 并 放 在 计算 机 附 
近 ， 使 盗窃 口令 者 极 易 得 到 口令 。 

2. 创建 安全 口令 和 维护 口令 安全 

口令 对 计算 机 系统 和 网 络 系统 来 说 是 极为 重要 的 ， 一 个 好 的 口令 应 该 是 不 容易 被 破解 
的 ， 因 此 创建 一 个 有 效 的 口令 是 保证 其 安全 的 第 一 步 ， 维 护 口令 安全 是 第 二 步 。 只 有 二 者 
结合 起 来 ， 才 可 以 构建 一 道 保护 口令 安全 的 防线 。 

(1) 安全 口令 的 创建 

从 前 面 口令 攻击 程序 的 原理 和 执行 过 程 可 以 看 出 , 创建 一 个 有 效 口 令 的 基本 原则 如 下 。 

@ 口令 的 长 度 应 尽 可 能 的 长 , 口令 字符 集中 包含 的 字符 应 尽 可 能 的 多 。 从 数学 角度 看 ， 
车 设 m 是 口令 的 长 度 , n 是 字符 集 的 字符 数 ， 所 有 可 能 的 口令 总 数 为 Y=n"， 当 n=26、m=6 
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时 ，Y=266。 这 就 是 说 ， 如 果 口 令 的 长 度 为 6， 只 用 26 个 纯 大 写 或 小 写字 母 时 ， 可 能 的 口 
令 总 数 为 26"， 如 果 区 分 字母 的 大 小 写 ， 口令 的 总 数 为 (2x26)“， 这 时 将 相差 64 倍 ; 如 果 
m=8, 则 口令 的 总 数 为 (2x26)8, 增加 到 256 倍 。 考 虑 到 一 个 8 位 随机 字符 的 组 合 数 为 3x102 
多 种 ， 即 便 是 借助 于 计算 机 进行 破解 ， 也 要 很 长 的 时 间 。 因 此 ， 口 令 越 长、 字符 集中 的 字 
符 数 越 多 ， 破 解 需要 花费 的 时 间 就 越 多 ， 猜 中 的 概率 就 越 低 。 

当然 ， 在 实际 使 用 中 ， 也 不 需要 太 长 、 字 符 数 很 多 。 因 为 口令 一 般 是 有 时 限 的 ， 假 如 
破解 创建 的 口令 需要 两 个 月 ， 而 口令 时 限 只 有 1 个 月 ， 那 么 这 个 口令 便 是 有 效 的 ， 因 为 当 
破解 者 还 没有 得 到 该 口令 时 ， 用 户 已 经 更 换 了 新 的 口令 。 因 此 一 般 可 以 选择 适当 长 度 的 口 
令 ， 口令 中 应 包含 字母 、 数 字 和 其 他 一 些 符号 。 

@ 不 要 选择 使 用 一 些 有 特征 的 字 词 作为 口令 , 例如 姓名 、 出 生年 月 日 以 及 常用 的 英语 
单词 等 。 口令 破解 者 正 是 揣摩 人 们 的 一 般 心理 ,因而 在 黑客 字典 中 包含 了 大 量 的 此 类 单词 ， 
很 容易 破解 。 

图 不 要 选择 特别 难 记 的 口令 ， 以 免 遗 忘 而 影响 使 用 。 一 个 理想 的 有 效 口令 ， 应 该 是 由 
计算 机 动态 生成 的 随机 字符 串 ， 由 于 每 次 出 现 的 字符 串 都 不 同 ， 势 必 增 大 破解 的 难度 。 

@ 最 好 将 创建 的 口令 加 密 以 后 ， 以 文件 的 形式 保存 在 磁盘 上 ， 当 需要 输入 口令 时 ， 执 
行 一 次 此 文件 ， 这 样 可 以 防止 盗窃 口令 者 用 猜测 的 方法 窃取 。 

(2) 口令 安全 的 维护 

创建 了 一 个 有 效 的 口令 只 是 做 完了 一 半 工 作 ， 另 一 半 应 该 是 系统 管理 员 和 普通 用 户 的 
不 断 维护 。 系 统管 理 员 应 该 充分 利用 网 络 操作 系统 提供 的 控制 功能 ， 管 理 和 提醒 用 户 保护 
口令 安全 。 

@ 应 经 常 更 换 口令 ,这样 即使 口令 被 破解 了 , 也 可 以 使 用 户 的 损失 减少 到 最 小 。 例如， 
在 Windows NT 中 ， 系 统管 理 员 可 以 使 用 “账户 规则 ”对 用 户口 令 进行 限制 一 一 选择 “ 设 
定 口令 使 用 最 长 期 限 ”项 ， 到 时 系统 会 要 求 用 户 更 改口 令 ; 选择 “ 设 定 最 短 使 用 期 限 ” 项 ， 
限制 用 户 在 期 限 内 不 能 更 改口 令 ; 选择 “ 设 定 口 令 最 少 字 符 数 ”项 ， 系 统 将 要 求 用 户 在 创 
建 口 令 时 其 长 度 不 能 少 于 该 数值 等 。 

@ 用 户 不 要 将 自己 的 口令 告诉 别人 ， 也 不 要 几 个 人 或 几 个 系统 共用 一 个 口令 ; 否则 
一 旦 一 个 人 或 一 个 系统 的 口令 被 破解 ， 则 所 有 的 口令 都 将 无 效 。 

@ 用 户 最 好 不 要 用 电子 邮件 来 传送 口令 。 必 须 如 此 时 ， 一 定 要 对 邮件 进行 加 密 处 理 ， 
以 防止 口令 在 网 上 被 盗窃。 同时 ， 用 户 要 尽量 减少 口令 的 输入 次 数 ， 从 而 减少 网 上 侦 听 的 
机 会 。 

@ 当 用 户 使 用 了 难以 记忆 的 口令 , 应 该 将 记录 口令 的 载体 放 到 远离 计算 机 的 地 方 ， 以 
减少 被 盗窃 的 机 会 。 

@ 用 户 应 增强 保护 口令 的 安全 意识 。 


5.1.2 ”脆弱 性 口令 


口令 是 系统 和 个 人 信息 安全 的 第 一 道 防线 。 


第 5 章 ust 


( 


但 是 ， 口 令 是 较 弱 的 安全 机 制 。 从 责任 的 角度 来 看 ， 用 户 和 系统 管理 员 都 对 口令 的 失 
密 负 有 责任 ， 或 者 说 系统 管理 员 和 用 户 两 方面 都 有 可 能 造成 口令 失 密 。 

脆弱 性 口令 也 就 是 常 说 的 弱 口 令 ， 易 于 被 破解 ， 在 口令 设置 中 不 可 取 。 弱 口令 一 般 具 
有 下 列 特征 : 

(1) 系统 默认 口令 。 

(2) 口令 与 个 人 信息 相关 。 

(3) 口令 为 字典 中 的 词语 。 

(4) 过 短 的 口令 (口令 长 度 小 于 或 等 于 6 位 )。 

(5) 永久 性 口令 。 


5.2 ”身份 识别 与 鉴别 


身份 鉴别 技术 在 信息 安全 中 处 于 非常 重要 的 地 位 ， 是 其 他 安全 机 制 的 基础 ， 是 安全 系 
统 中 的 第 一 道 关卡 。 只 有 实现 了 有 效 的 身份 鉴别 ， 才 能 保证 访问 控制 、 安 全 审计 、 入 侵 防 
范 等 安全 机 制 的 有 效 实施 。 


5.2.1 身份 识别 与 鉴别 的 概念 


身份 识别 是 指 用 户 向 系统 出 示 自 己 身份 证 明 的 过 程 ， 身 份 鉴别 是 系统 核查 用 户 的 身份 
证 明 的 过 程 ， 实 质 上 是 查 明 用 户 是 否 具有 他 所 请 求 资源 的 存储 和 使 用 权 。 人 们 通常 把 这 两 
项 工作 统称 为 身份 鉴别 ， 也 称 为 身份 认证 。 这 是 判明 和 确认 通信 双方 真实 身份 的 两 个 重要 
环节 。 身 份 鉴别 必须 做 到 准确 无 误 地 将 对 方 辨 认 出 来 ， 同 时 还 应 该 提供 双向 的 鉴别 ， 即 相 
互 证 明 自 己 的 身份 。 信 息 技术 领域 的 身份 鉴别 通常 是 通过 将 一 个 证 据 与 实体 身份 绑 定 来 实 
现 的 。 实 体 可 能 是 用 户 、 主 机 、 应 用 程序 甚至 进程 。 证 据 与 身份 之 间 是 一 一 对 应 的 关系 ， 
双方 通信 过 程 中 ， 一 方 实体 向 另 一 方 提供 这 个 证 据 证 明 自 己 的 身份 ， 另 一 方 通过 相应 的 机 
制 来 验证 证 据 ， 以 确定 该 实体 是 否 与 证 据 所 宣称 的 身份 一 致 。 

1. 身份 鉴别 的 任务 

计算 机 系统 中 的 身份 鉴别 技术 一 般 涉及 两 方面 的 内 容 ， 即 识别 和 验证 。 识 别 信息 一 般 
是 非 秘密 的 ， 而 验证 信息 必须 是 秘密 的 。 所 谓 “ 识 别 ”， 就 是 要 明确 访问 者 是 谁 ， 即 识别 
访问 者 的 身份 ， 且 必须 对 系统 中 的 每 个 合法 用 户 都 有 识别 能 力 。 要 保证 识别 的 有 效 性 ， 必 
须 保 证 任意 两 个 不 同 的 用 户 都 不 能 具有 相同 的 标识 符 ， 通 过 唯一 标识 符 态 ， 系 统 可 以 识别 
出 访问 系统 的 每 一 个 用 户 。 所 谓 “ 验 证 ”， 是 指 在 访问 者 声明 自己 的 身份 〈 向 系统 输入 它 
的 标识 符 ) 后 ， 系 统 必 须 对 它 所 声明 的 身份 进行 验证 ， 以 防 假冒 ， 实 际 上 就 是 证 实用 户 的 
身份 。 验 证 过 程 中 用 户 必须 出 具 能 够 证 明 他 的 身份 的 特殊 信息 ， 这 个 信息 是 秘密 的 ， 任 何 
其 他 用 户 都 不 能 拥有 。 只 有 识别 与 验证 过 程 都 正确 后 ， 系 统 才 会 允许 用 户 访问 系统 资源 。 

身份 鉴别 的 目的 是 验证 信息 收发 方 是 否 持 有 合法 的 身份 认证 符 口令、 密 钥 和 实物 证 
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件 等 )。 从 认证 机 制 上 讲 ， 身 份 认证 技术 可 分 为 两 类 : 一 类 是 专门 进行 身份 认证 的 直接 身份 
认证 技术 ， 另 一 类 是 在 消息 签名 和 加 密 认 证 过 程 中 ， 通 过 检验 收发 方 是 否 持 有 合法 的 密 钥 
进行 的 认证 ， 称 为 间接 身份 认证 技术 。 

在 用 户 接 入 或 登录 ) 系统 时 ， 直 接 身份 认证 技术 要 首先 验证 他 是 否 持 有 合法 的 身份 
证 (口令 或 实物 证 件 等 )。 如 果 他 有 合法 的 身份 证 ， 就 允许 他 接 入 到 系统 中 ， 进 行 允许 的 收 
发 等 操作 ， 否 则 ， 拒 绝 他 接 入 到 系统 中 。 通 信和 数据 系统 的 安全 性 常常 取决 于 能 否 正确 识 
别 通信 用 户 或 终端 的 个 人 身份 。 例 如, 银行 的 自动 取款 机 ATM 可 将 现款 发 放 给 经 它 正确 识 
别 的 账号 持 卡 人 。 对 计算 机 的 访问 和 使 用 及 安全 地 区 的 出 入 、 放 行 等 都 是 以 准确 的 身份 认 
证 为 基础 的 。 

2， 身 份 鉴别 技术 

通常 有 3 种 方法 来 验证 主体 身份 ， 一 是 只 有 该 主体 了 解 的 秘密 ， 例 如 口令 、 密 钥 ， 二 
是 主体 携带 的 物品 ， 例 如 智能 卡 和 令 牌 卡 ， 三 是 只 有 该 主体 具有 的 独一无二 的 特征 (人 体 
测量 学 或 生物 统计 学 方面 ) 或 能 力 ， 如 脸 像 、 虹 膜 、 指 纹 、 掌 纹 、 声 音 、 步 态 或 笔迹 等 。 

(1) 口令 机 制 

口令 是 相互 约定 的 代码 ， 只 有 用 户 和 系统 知道 。 口 令 可 以 由 用 户 自己 选择 ， 也 可 以 由 
系统 分 配 。 通 常情 况 下 ， 用 户 先 输入 某 种 标志 信息 ,例如 用 户 名 和 ID 号 ,然后 系统 询问 用 
户口 令 ， 若 口令 与 系统 保存 的 用 户 文件 中 的 相 匹配 ， 用 户 即 可 进入 系统 。 

这 是 目前 在 互联 网 和 计算 机 领域 中 最 常用 的 鉴别 方法 ， 当 你 登录 计算 机 网 络 时 需要 输 
入 口令 。 计 算 机 系统 把 它 的 鉴别 建立 在 用 户 名 和 口令 的 基础 之 上 ， 如 果 你 把 用 户 名 和 口令 
告诉 了 其 他 人 ， 则 计算 机 也 将 给 予 那个 人 以 访问 权限 ， 因 为 鉴别 是 建立 在 已 知 口令 之 上 的 ， 
仅仅 属于 一 种 模式 的 鉴别 。 通 过 一 些 措施 可 以 有 效 地 改进 口令 鉴别 的 安全 性 ， 例 如 增加 口 
令 的 强度 ， 提 高 抗 穷 举 攻击 和 字典 攻击 的 能 力 ， 将 口令 加 密 ， 防 止 在 传输 中 被 窃听 ， 采 用 
动态 的 一 次 性 口令 等 。 

(2) 智能 卡 

访问 不 但 需要 口令 ， 还 需要 使 用 物理 智能 卡 ， 在 允许 进入 系统 之 前 检查 是 否 允 许 接触 
系统 。 智 能 卡 大 小 如 信用 卡 〈 国 内 已 经 出 现形 如 U 盘 且 具 USB 接口 的 认证 设备 ) ， 一 般 
由 微 处 理 器 、 存 储 及 输入 /输出 设备 构成 。 微 处 理 器 可 计算 该 卡 的 一 个 序列 号 ID 和 其 他 数 
据 的 加 密 形式 ，ID 只 要 保证 智能 卡 的 真实 性 ， 持 卡 人 就 能 访问 系统 。 为 防止 智能 卡 遗失 或 
被 窃 ， 许 多 系统 需要 卡 和 身份 识别 码 PIN 同时 使 用 ， 若 仅 有 卡 而 不 知道 密码 ， 则 不 能 进入 
系统 。 基 于 智能 卡 的 认证 方式 是 一 种 双 因 素 的 认证 方式 (PIN+ 智 能 卡 ) ， 即 使 PIN 或 智能 
卡 被 窃取 ， 用 户 仍 不 会 被 冒充 。 智 能 卡 提供 硬件 保护 措施 和 加 密 算法 ， 可 以 利用 这 些 功能 
加 强 安全 性 能 。 例 如 ， 可 以 把 智能 卡 设置 成 用 户 只 能 得 到 加 密 后 的 某 个 秘密 信息 ， 从 而 防 
止 秘密 信息 的 泄露 。 智 能 卡 比 传统 的 口令 方法 鉴别 能 力 更 强 ， 但 其 携带 不 方便 ， 且 开户 费 
用 较 高 。 

(3) 主体 特征 鉴别 

这 种 认证 方式 以 人 体 唯一 的 、 可 靠 的、 稳定 的 生物 特征 〈 例 如 指纹 、 虹 膜 、 脸 部 、 掌 
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纹 等 ) 为 依据 ， 采 用 计算 机 的 强大 功能 和 网 络 技术 进行 图 像 处 理 和 模式 识别 。 该 技术 具有 
很 好 的 安全 性 、 可 靠 性 和 有 效 性 ， 与 传统 的 身份 确认 手段 相 比 ， 产 生 了 质 的 飞跃 。 利 用 生 
物 学 特征 的 身份 验证 机 制 提供 了 很 高 的 安全 性 ， 但 其 生物 特征 信息 采集 、 认 证 装备 的 成 本 
较 高 ， 只 适用 于 安全 级 别 比较 高 的 场所 。 另 外 ， 软 件 方面 需 进 一 步 降低 误 识 率 ， 不 断 提高 
身份 认证 的 正确 性 、 准 确 性 。 


5.2.2 ”身份 鉴别 的 过 程 


认证 技术 是 保障 网 络 安 全 的 重要 手段 。 用 户 认证 系统 主要 是 通过 数字 认证 技术 确认 用 
户 的 身份 ， 从 而 提供 相应 的 服务 。 决 定 身份 真实 性 的 身份 鉴别 过 程 包括 如 下 两 个 步 又 : 

(1) 为 实体 赋予 身份 ， 并 绑 定 身份 ， 决 定 身份 的 表现 方式 

身份 的 赋予 必须 由 具有 更 高 优先 权 的 实体 进行 。 这 些 被 充分 信任 的 实体 可 通过 类 似 于 
鸭 照 检查 或 指纹 验证 等 办 法 ， 来 确定 实体 的 真实 性 ， 随 后 赋予 真实 实体 相应 的 身份 信息 。 

每 个 实体 的 身份 信息 应 当 是 独一无二 的 , 同时 身份 信息 要 能 被 对 等 的 其 他 实体 所 理解 。 
目前 可 采用 如 下 方式 完成 身份 的 赋予 和 表示 : 系统 管理 员 为 用 户 提供 账号 和 口令 ， 网 络 管 
理 员 为 每 台 机 器 赋予 IP 地 址 ， 分 配对 称 密 钥 的 方法 ， 分 配 公 钥 / 私 钥 的 方法 ， 产生 公 钥 的 
证 书 授权 方法 ， 安 全 人 员 建 立 名 字 和 指纹 序列 的 联系 ;身份 的 可 信 度 取决 于 验证 身份 正确 
性 的 过 程 和 实施 身份 赋予 和 绑 定 实体 的 真实 性 。 

可 靠 的 身份 认证 , 是 保护 网 络 系统 免 受 诸如 伪装 和 内 部 人 员 修改 攻击 等 破坏 的 第 一 步 。 

(2) 通信 与 鉴别 

对 实体 的 访问 请 求 ， 必 须 鉴 别 其 身份 。 认 证 的 基本 模式 可 分 为 3 类 : 

@ 用 户 到 主机 : 当 用 户 登录 到 主机 或 工作 站 时 , 用 户 对 主机 和 网 络 的 访问 首先 必须 经 
过 身份 认证 过 程 。 最 佳 方法 是 综合 采用 多 种 认证 方式 ， 例 如 口令 、 物 理 令 牌 和 生物 方法 的 
验证 。 

@ 点 对 点 认证 : 认证 双方 通过 认证 协议 互相 通信 ， 获 得 对 方 的 认证 信息 ， 完 成 身份 认 
证 工作 。 

@ 第 三 方 的 认证 : 由 充分 信任 的 第 三 方 提供 认证 信息 。 在 这 种 模式 下 ， 保 证 第 三 方 的 
可 信 度 非常 重要 。 建 立 和 维护 第 三 方 信任 度 ， 要 求 制定 关于 出 具 证 书 的 规则 和 过 程 ， 确 保 
认证 过 程 的 数据 完整 性 ， 使 用 安全 的 通信 协议 与 认证 服务 器 进行 通信 。 

认证 可 采用 的 机 制 ， 应 分 成 简单 和 加 密 两 种 类 型 。 简 单 的 认证 机 制 ， 通 过 比较 被 认证 
实体 提供 的 信息 和 本 地 存储 的 对 应 信息 来 实现 ， 而 基于 加 密 的 认证 机 制 ， 则 建立 在 加 密 协 
议 对 数据 的 加 密 处 理 的 基础 上 。 通 信 双 方 可 能 持 有 公共 的 密 钥 ( 通 常 存储 在 硬件 的 令 牌 里 )， 
从 而 实现 质询 /应 答 的 协议 ， 完 成 认证 。 其 他 机 制 ， 可 以 只 是 基于 公 钥 和 公 钥 同 公 钥 证 书 之 
间 的 对 应 关系 。 例 如 ， 身 份 是 本 地 定义 的 名 字 ， 所 有 可 能 参与 通信 的 对 象 的 名 字 都 在 本 地 
的 一 个 把 它们 的 身份 同 其 公 钥 联系 起 来 的 可 信 的 数据 库 当 中 ， 使 用 所 存储 的 公 钥 验证 数字 
签名 ， 就 可 以 实现 身份 的 鉴别 。 


@ 计算 机 网 络 安全 技术 与 应 用 


5.2.3 生物 身份 认证 


生物 特征 身份 鉴别 技术 是 通过 计算 机 收集 人 体 所 固有 的 生理 或 行为 特征 并 进行 处 理 ， 
由 此 进行 个 人 身份 鉴定 的 技术 。 

并 非 所 有 的 生物 特征 都 可 用 于 个 人 的 身份 鉴别 。 身 份 鉴别 可 利用 的 生物 特征 必须 满足 
以 下 几 个 条 件 : 

e@ 普遍 性 : 即 每 个 人 都 必须 具备 这 种 特征 。 

e@ ”唯一 性 : 即 任何 两 个 人 的 特征 是 不 一 样 的 。 

@ ”可 测量 性 ， 即 特征 可 测量 。 

e@ 稳定 性 : 即 特征 在 一 段 时 间 内 不 改变 。 

当然 ， 在 应 用 过 程 中 ， 还 要 考虑 其 他 的 实际 因素 ， 如 识别 精度 、 识 别 速度 、 对 人 体 无 
伤害 、 被 识别 者 的 接受 性 等 。 

目前 ， 研 究 和 使 用 的 生物 特征 包括 脸 部 、 虹 膜 、 视 网 膜 、 指 纹 、 掌 纹 和 手 形 等 与 生 俱 
来 的 生理 特征 和 语音 、 签 名 、 步 态 等 后 天 习惯 使 然 的 行为 特征 。 

1. 基于 生理 特征 的 识别 技术 


(1) 指纹 识别 

指纹 是 指 手指 末梢 乳 突 纹 凸 起 形成 的 纹 线 图 案 ， 其 稳定 性 、 唯 一 性 早已 获得 公认 。 目 
前 指纹 识别 技术 主要 是 利用 指纹 纹 线 所 提供 的 细节 特征 〈 即 纹 线 的 起 、 终 点 、 中 断 处 、 分 
叉 点 、 汇 合 点 、 转 折 点 ) 的 位 置 、 类 型 、 数 目 和 方向 的 比 对 来 鉴别 身份 。 指 纹 识 别 在 所 
有 生物 特征 识别 技术 中 ， 无 论 从 硬件 设备 还 是 软件 算法 上 都 是 最 成 熟 、 应 用 最 早 、 使 用 最 
广泛 的 。 尽 管 如 此 ， 指 纹 识 别 技术 也 有 不 足 之 处 ， 对 指纹 质量 较 差 的 人 群 ， 如 皮肤 干燥 、 
有 疤痕 、 老 草 、 表 面 磨损 严重 和 有 病变 的 人 无 法 取得 好 的 识别 效果 ， 因 为 指纹 使 用 接触 式 
采集 。 

(2) 虹膜 识别 

虹膜 是 指 位 于 瞳孔 和 巩膜 间 的 环 状 区 域 ， 每 个 人 虹膜 上 的 纹理 、 血 管 、 斑 点 等 细微 特 
征 各 不 相同 ， 且 一 生 中 几乎 不 发 生变 化 。 用 摄像 机 捕获 用 户 眼睛 的 图 像 ， 从 中 分 割 出 虹膜 
图 像 ， 即 可 进行 定位 校准 、 特 征 提取 、 编 码 用 以 匹配 。 到 目前 为 止 ， 虹膜 识 别 的 错误 率 是 
各 种 生物 特征 识别 技术 中 最 低 的 。 但 虹膜 因 受 到 眼 瞪 、 睫 毛 的 遮挡 ， 准 确 捕获 虹膜 图 像 很 
困难 ， 图 像 采 集 设 备 复 杂 昂 贵 ， 且 虹膜 一 旦 有 病变 或 损伤 会 影响 识别 ， 对 盲人 和 患 有 如 白 
内 障 等 眼 部 疾病 的 人 无 效 。 

(3) 视网膜 识别 

人 体 的 血管 纹路 也 是 具有 独特 性 的 。 人 的 视网膜 上 血管 的 图 样 可 以 利用 光学 方法 透 过 
人 眼 晶 体 来 测定 。 用 于 生物 识别 的 血管 分 布 在 神经 视网膜 周围 ， 即 视网膜 4 层 细 胞 的 最 远 
处 。 如 果 视 网 膜 不 被 损伤 ， 从 3 岁 起 就 会 终身 不 变 。 同 虹膜 识别 技术 一 样 ， 视 网 膜 扫描 可 
能 是 最 可 靠 、 最 值得 信赖 的 生物 识别 技术 ， 但 应 用 难度 较 大 一 一 视网膜 识别 技术 要 求 激光 
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照射 眼球 的 背面 以 获得 视网膜 特征 的 唯一 性 。 

视网膜 技术 的 优点 是 : 视网膜 是 一 种 极其 固定 的 生物 特征 ， 因 为 它 是 “隐藏 ”的 ， 故 
而 不 易 磨 损 、 老 化 或 是 为 疾病 影响 ， 非 接触 性 的 ;视网膜 是 不 可 见 的 ， 故 而 不 会 被 伪造 。 
缺点 是 : 视网膜 技术 未 经 过 任何 测试 ， 可 能 会 给 使 用 者 带 来 健康 危害 ， 这 需要 进一步 的 研 
究 ， 对 于 消费 者 ， 视 网 膜 技术 没有 吸引 力 ， 很 难 进 一 步 降低 它 的 成 本 。 

(4) 面部 识别 

面部 识别 技术 通过 对 面部 特征 和 它们 之 间 的 关系 眼睛 、 和 描 子 和 嘴 的 位 置 以 及 它们 之 
间 的 相对 位 置 ) 来 进行 识别 。 用 于 捕捉 面 部 图 像 的 技术 有 两 种 ， 即 标准 视频 技术 和 热 成 像 
技术 。 标 准 视频 技术 通过 视频 摄像 头 摄取 面部 的 图 像 ， 而 热 成 像 技 术 通 过 分 析 由 面部 毛细 
血管 中 的 血液 产生 的 热线 束 产生 面部 图 像 。 与 视频 摄像 头 不 同 ， 热 成 像 技术 并 不 需要 较 好 
的 光源 ， 即 使 在 黑暗 的 情况 下 也 可 以 使 用 。 

面部 识别 技术 的 优点 是 : 非 接触 性 的 。 其 缺点 是 : 要 用 比较 高 级 的 摄像 头 才 可 有 效 、 
高 速 地 捕捉 面部 图 像 ， 使 用 者 面部 的 位 置 与 周围 的 光环 境 都 可 能 影响 系统 的 精确 性 ， 而 且 
面部 识别 也 是 最 容易 被 欺骗 的 ， 另 外 ， 对 于 人 体面 部 、 头 发 、 饰 物 、 变 老 以 及 其 他 的 变化 
可 能 需要 通过 人 工 智 能 技术 来 得 到 补偿 ; 用 于 采集 图 像 的 设备 会 比 其 他 技术 昂贵 得 多 。 这 
些 因素 限制 了 面部 识别 技术 广泛 地 运用 。 

(5) 手 形 识别 

手 形 识别 技术 主要 是 利用 手掌 、 手 指 及 手指 各 关节 的 长 、 宽 、 厚 等 三 维 尺 寸 和 连接 特 
征 来 进行 身份 鉴别 。 这 些 特征 采集 简单 ， 不 易 受 噪声 干扰 ， 对 设备 要 求 不 高 ， 其 识别 速度 
在 所 有 生物 特征 识别 系统 中 是 最 快 的 ， 但 因 识别 率 相对 较 低 ， 一 般 只 用 于 身份 验证 。 手 形 
识别 系统 使 用 方便 ， 价 格 合理 ， 已 在 机 场 、 海 关 、 高 级 住宅 、 进 出 口 控制 等 方面 得 到 广泛 
应 用 ， 市 场 占有 量 仅 次 于 指纹 识别 系统 。 不 过 ， 当 手 部 因 劳动 、 外 伤 或 疾病 等 原因 造成 外 
形 上 的 变化 时 ， 会 影响 系统 鉴别 的 准确 性 。 

(6) 红外 温 谱 图 

人 的 身体 各 个 部 位 都 在 向 外 散发 热量 ， 而 每 个 人 的 生物 特征 都 不 同 ， 从 而 导致 其 发 执 
强度 不 同 。 此 时 通过 红外 设备 即 可 获得 反映 身体 各 个 部 位 发 热 强度 的 图 像 ， 这 种 图 像 称 为 
温 谱 图 。 拍 摄 温 谱 图 的 方法 和 拍摄 普通 照片 的 方法 类 似 ， 因 此 可 以 用 人 体 的 各 个 部 位 来 进 
行 鉴 别 。 例 如 ， 可 对 面部 或 手背 静脉 结构 进行 鉴别 来 区 分 不 同 的 身份 。 温 谱 图 的 数据 采集 
方式 决定 了 其 可 以 用 于 隐蔽 的 身份 鉴定 。 除 了 用 来 进行 身份 鉴别 外 ， 温 谱 图 的 另 一 个 应 用 
是 吸毒 检测 。 因 为 人 体 服 用 某 种 毒品 后 ， 其 温 谱 图 会 显示 特定 的 结构 。 温 谱 图 的 方法 具有 
可 接受 性 ， 因 为 数据 的 获取 是 非 接触 式 的 ， 具 有 非 侵犯 性 。 但 是 ， 人 体 的 温 谱 值 受 外 界 环 
境 影 响 很 大 ， 对 于 每 个 人 来 说 不 是 完全 固定 的 。 目 前 ， 已 经 有 温 谱 图 身份 鉴别 的 产品 ， 但 
是 由 于 红外 测 温 设 备 的 昂贵 价格 ， 使 得 该 技术 不 能 得 到 广泛 的 应 用 。 

(7) 语音 识别 

语音 识别 利用 说 话 者 发 声 频率 和 幅 值 的 不 同 来 辨识 身份 。 语 音 识别 大 体 分 两 类 : 一 是 
依赖 特定 文字 识别 ， 例 如 让 说 话 者 说 某 个 特定 的 词语 或 几 个 特定 词语 中 随机 的 某 个 来 识别 
真 伪 ， 这 种 方式 系统 设计 简单 ， 较 易 实现 ,但 安全 性 较 差 ; 另 一 种 是 不 依赖 特定 文字 识别 ， 
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即 说 话 者 可 随意 说 任何 词语 ， 由 系统 找 出 说 话 者 发 音 中 具有 共性 的 特征 进行 识别 ， 该 方式 
虽 有 很 好 的 防伪 性 ， 但 系统 复杂 ， 实 现 起 来 存在 一 定 困难 。 因 语音 远程 传递 的 方便 性 ， 在 
电话 拨号 系统 中 该 方法 具有 其 他 生物 特征 识别 技术 不 可 取代 的 优势 ， 但 也 存在 较 多 不 足 。 
例如 ， 语 音 受 心理 状态 、 疾 病 等 自身 因素 和 语音 环境 、 采 集 设备 、 传 输 通 道 等 外 部 因素 的 
干扰 ， 会 影响 识别 效果 ， 使 用 磁带 录音 进行 欺诈 的 可 能 性 也 未 能 很 好 地 解决 。 

(8) 味 纹 识别 

人 的 身体 是 一 种 味 源 ， 人 类 的 气味 虽然 会 受到 饮食 、 情 绪 、 环 境 、 时 间 等 因素 的 影响 
和 干扰 ， 其 成 分 和 含量 会 发 生 一 定 的 变化 ， 但 作为 由 基因 决定 的 那 一 部 分 气味 一 一 味 纹 却 
始终 存在 ， 而 且 终生 不 变 ， 可 以 作为 识别 任何 一 个 人 的 标记 。 
由 于 气味 的 性 质 相当 稳定 ， 如 果 将 其 密封 在 试管 里 制 成 气味 档案 ,可 以 足 足 保存 3 年 ， 
即使 是 在 露天 空气 中 也 能 保存 18 小 时 。 科 学 家 告诉 我 们 , 人 的 味 纹 从 手掌 中 可 以 轻易 获得 。 
首先 将 手掌 握 过 的 物品 ， 用 一 块 经 过 特殊 处 理 的 棉布 包 庄 住 ， 放 进 一 个 密封 的 容器 ， 然 后 
通 入 氮气 ， 让 气流 慢 慢 地 把 气味 分 子 转移 到 棉布 上 ,这 块 棉布 就 成 了 保持 人 类 味 纹 的 档案 。 
可 利用 训练 有 素 的 警犬 或 电子 鼻 识 别 不 同 的 气味 。 

(9) 基因 DNA 识别 

脱氧 核糖 核酸 DNA 存在 于 一 切 有 核 的 动 (植物 中 ， 生 物 的 全 部 遗传 信息 都 储存 在 
DNA 分 子 里 。 由 于 不 同 的 人 体 细胞 中 具有 不 同 的 DNA 分 子 结构 ， 且 在 整个 人 类 范围 内 具 
有 唯一 性 和 永久 性 ， 因 此 除了 对 双胞胎 个 体 的 鉴别 可 能 失去 它 应 有 的 功能 外 ， 这 种 方法 具 
有 绝对 的 权威 性 和 准确 性 。 不 像 指纹 必须 从 手指 上 提取 ,DNA 模式 在 身体 的 每 一 个 细胞 和 
组 织 都 一 样 。 这 种 方法 的 准确 性 优 于 其 他 任何 生物 特征 识别 方法 ， 广 泛 应 用 于 识别 罪犯 。 
它 的 主要 问题 是 使 用 者 的 伦理 问题 和 实际 的 可 接受 性 ，DNA 模式 识别 必须 在 实验 室 中 进 
行 ， 不 能 达到 实时 以 及 抗 干扰 ， 耗 时 长 是 另 一 个 问题 。 这 就 限制 了 DNA 识别 技术 的 使 用 。 
另外 ， 某 些 特殊 疾病 可 能 改变 人 体 DNA 的 结构 ， 系 统 无 法 对 这 类 人 和 群 进行 识别 。 

2.， 基于 行为 特征 的 生物 识别 技术 

(1) 步 态 识别 

步 态 是 指 人 们 行走 时 的 方式 ， 这 是 一 种 复杂 的 行为 特征 。 步 态 识别 主要 提取 的 特征 是 
人 体 每 个 关节 的 运动 。 尽 管 步 态 不 是 每 个 人 都 不 相同 的 ， 但 是 也 可 提供 充足 的 信息 来 识别 
人 的 身份 。 步 态 识别 的 输入 是 一 段 行走 的 视频 图 像 序列 ， 因 此 其 数据 采集 与 面部 识别 类 似 ， 
其 有 非 侵犯 性 和 可 接受 性 。 但 是 ， 由 于 序列 图 像 的 数据 量 较 大 ， 因 此 步 态 识别 的 计算 复杂 
性 比较 高 ， 处 理 起 来 也 比较 困难 。 尽 管 生物 力学 中 对 于 步 态 进行 了 大 量 的 研究 工作 ， 但 基 
于 步 态 的 身份 鉴别 研究 工作 刚刚 开始 ， 到 目前 为 止 ， 还 没有 商业 化 的 基于 步 态 的 身份 鉴别 
系统 。 

(2) 击 键 识别 

这 是 基于 人 击 键 时 的 特性 ， 如 击 键 的 持续 时 间 、 击 不 同 键 之 间 的 时 间 间 隔 、 出 错 的 频 
率 以 及 力度 大 小 等 而 达到 进行 身份 识别 的 目的 。20 世纪 80 年 代 初 期 ， 美 国 国家 自然 科学 
基金 会 和 国家 标准 局 研究 证 实 ， 击 键 方式 是 一 种 可 以 被 识别 的 动态 特征 。 
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(3) 签名 识别 

签名 识别 是 日 常生 活 中 我 们 接触 最 多 的 一 种 身份 识别 方法 ， 接 受 程度 高 。 签 名 作为 身 
份 认证 的 手段 已 经 用 了 几 百 年 了 ， 对 此 我 们 非常 熟悉 ， 如 在 银行 的 格式 表单 中 签名 作为 我 
们 身份 的 标志 。 将 签名 数字 化 是 这 样 一 个 过 程 : 测量 图 像 本 身 以 及 整个 签名 的 动作 在 每 个 
字母 以 及 字母 之 间 的 不 同 速度 、 顺 序 和 压力 。 

签名 识别 按 获取 方式 分 为 离线 和 在 线 识 别 两 种 。 离 线 识别 通过 扫描 仪 获 取 已 书写 好 的 
文字 图 像 , 利用 计算 机 从 中 提取 文字 的 儿 何 特征 ， 由 笔画 本 身 特征 和 相互 关系 来 进行 识别 。 
这 种 方式 简单 ， 但 易 被 伪造 。 在 线 识别 需 用 专用 手写 板 和 压 敏 笔 来 记录 整个 书写 过 程 ， 包 
括 书 写 的 笔画 顺序 、 笔 尖 压 力 、 倾 斜 度 及 书写 时 的 速度 和 加 速度 等 丰富 的 动态 特性 ， 弥 补 
了 离线 识别 只 取 静 态 特 性 的 不 足 ， 难 以 伪造 。 

签名 识别 易 被 大 众 接受 ， 是 一 种 公认 的 身份 识别 的 技术 。 但 事实 表明 人 们 的 签名 在 不 
同 的 时 期 和 不 同 的 精神 状态 下 是 不 一 样 的 ， 这 就 降低 了 签名 识别 系统 的 可 靠 性 。 
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公 钥 基础 设施 PKI， 是 基于 公开 密 钥 理论 和 技术 建立 起 来 的 安全 体系 ， 是 提供 信息 安 
全 服务 具有 普遍 性 的 安全 基础 设施 。 该 体系 在 统一 的 安全 认证 标准 和 规范 基础 上 提供 了 在 
线 身份 认证 ， 是 CA 认证 、 数 字 证 书 、 数 字 签名 以 及 相关 的 安全 应 用 组 件 的 集合 。PKI 的 
核心 是 解决 信息 网 络 空间 中 的 信任 问题 ， 确 定 信息 网 络 、 信 息 空 间 中 各 种 经 济 、 军 事 和 管 
理 行为 的 主体 (包括 组 织 和 个 人 》 身 份 的 唯一 性 、 真 实 性 和 合法 性 ， 为 组 织 机 构建 立 和 维 
护 一 个 可 信赖 的 系统 环境 ， 透 明 地 为 应 用 系统 提供 身份 认证 、 数 据 保密 性 和 完整 性 、 抗 抵 
赖 等 各 种 必要 的 安全 保障 ， 满 足 各 种 应 用 系统 的 安全 需求 。 

PKI 产生 于 20 世纪 80 年 代 ， 是 一 种 遵循 既定 标准 的 密 钥 管理 平台 ， 能 够 为 所 有 网 络 
应 用 提供 加 密 和 数字 签名 等 密码 服务 及 必需 的 密 钥 和 证 书 管理 体系 。 它 采用 证 书 管理 公 钥 ， 
通过 第 三 方 的 可 信任 机 构 一 一 认证 中 心 〈Certificate Authority，CA)， 把 用 户 的 公 钥 和 其 他 
标识 信息 捆绑 在 一 起 ， 在 Internet 网 上 验证 用 户 身份 。 

目前 ，PKI 技术 已 逐渐 履 盖 了 从 安全 电子 邮件 、 虚 拟 专用 网 络 VPN、Web 交互 安全 到 
电子 商务 、 电 子 政务 、 电 子 事务 安全 等 众多 领域 。 毫 无 疑问 ，PKI 作为 一 种 安全 基础 设施 ， 
在 提供 安全 的 网 络 应 用 方面 ， 较 某 些 技术 措施 更 具 全 局 性 ， 发 挥 着 更 重要 的 作用 。 


5.3.1 PKI 的 概念 、 目 的 、 实 体 构 成 和 服务 


1，PKI 的 概念 

(1) PKI 的 定义 

PKI 是 一 个 用 公 钥 概念 与 技术 来 实施 和 提供 安全 服务 的 普遍 适用 的 安全 基础 设施 。 
PKI 是 一 个 为 综合 数字 信息 系统 提供 广泛 需要 的 加 密 和 数字 签名 服务 的 基础 设施 ， 其 
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主要 职责 是 管理 密 钥 和 证 书 ， 建 立 和 维护 一 个 值得 信任 的 网 络 环境 。PKI 能 够 为 跨越 各 种 
领域 的 广泛 应 用 提供 加 密 和 数字 签名 服务 。 

PKI 是 由 认证 机 构 、 策 略 和 技术 标准 、 必 要 的 法 律 组 成 。 

(2) PKI 原理 

公共 ( 非 对 称 ) 密 钥 算法 使 用 加 密 算法 和 一 对 密 钥 个 公 钥 和 一 个 私 钥 。 其 基本 
原理 是 : 由 一 个 密 钥 进行 加 密 的 信息 内 容 ， 只 能 由 与 之 配对 的 男 一 个 密 钥 才能 进行 解密 。 
公 钥 可 以 广泛 地 发 给 与 自己 有 关 的 通信 者 ， 私 钥 则 需要 十 分 安全 地 存放 起 来 。 使 用 中 ， 甲 
方 可 以 用 乙方 的 公 钥 对 数据 进行 加 密 并 传送 给 乙方 ， 乙 方 可 以 使 用 自己 的 私 钥 完成 解密 。 
公 钥 通过 电子 证 书 与 其 拥有 者 的 姓名 、 工 作 单位 、 邮 箱 地 址 等 捆绑 在 一 起 ， 由 权威 机 构 认 
证 、 发 放 和 管理 。 将 证 书 交 给 对 方 时 ， 也 就 把 自己 的 公 钥 传送 给 了 对 方 。 证 书 也 可 以 存放 
在 一 个 公开 的 地 方 ， 让 别人 能 够 方便 地 找到 和 下 载 。 

公共 密 钥 方 法 还 提供 了 进行 数字 签名 的 方法 : 签字 方 对 要 发 送 的 数据 提取 摘要 并 用 自 
己 的 私 钥 对 其 进行 加 密 ， 接 收 方 验证 签字 方 证 书 的 有 效 性 和 身份 ， 用 签字 方 公 钥 进 行 解密 
和 验证 ， 确 认 被 签字 的 信息 的 完整 性 和 抗 抵赖 性 。 

(3) PKI 的 安全 服务 功能 

PKI 的 主要 功能 是 提供 身份 认证 、 机 密 性 、 完 整 性 和 不 可 否认 性 服务 。 

@ 身份 认证 。 信息 的 接收 者 应 该 能 够 确认 信息 的 来 源 ， 使 得 交易 双方 的 身份 不 能 被 入 
侵 者 假冒 或 伪装 。 

因为 公 钥 是 公开 的 ， 需 要 在 网 上 传输 , 如 何 对 其 进行 管理 便 成 为 PKI 系统 的 关键 问题 。 
目前 较 好 的 解决 方案 是 引进 证 书 机 制 。 证 书 是 公开 密 钥 体制 的 一 种 密 钥 管理 媒介 。 它 是 一 
种 权威 性 的 电子 文档 ， 形 同 网 络 计算 环境 中 的 一 种 身份 证 ， 用 于 证 明 某 一 主体 〈 例 如 人 、 
服务 器 等 ) 的 身份 以 及 其 公开 密 钥 的 合法 性 。PKI 通过 证 书 进行 认证 。 证 书 是 一 个 可 信 的 
第 三 方 证 明 ， 通 过 它 ， 通 信 双 方 可 以 安全 地 进行 相互 认证 而 不 用 担心 别人 会 假冒 自己。 

@ 机 密 性 。 确 保 一 个 计算 机 系统 中 的 信息 和 被 传输 的 信息 仅 能 被 授权 读 取 的 各 方 
得 到 。 

PKI 基础 设施 采用 证 书 管理 公 钥 , 通过 第 三 方 的 可 信任 机 构 认证 中 心 CA, 把 用 户 
的 公 钥 和 用 户 的 其 他 标识 信息 捆绑 在 一 起 , 在 Internet 上 验证 用 户 的 身份 ; PKI 将 公 钥 密码 
和 对 称 密码 结合 起 来 ， 在 Internet 上 实现 密 钥 的 自动 管理 ， 确 保 网 上 数据 的 安全 传输 。 

@ 信息 的 完整 性 。 信 息 的 完整 性 就 是 防止 非法 算 改 信息 ， 例 如 修改 、 复 制 、 插 入 和 删 
除 等 。 在 交易 过 程 中 ， 要 确保 交易 双方 接收 到 的 数据 和 从 数据 源 发 出 的 数据 完全 一 致 ， 数 
据 在 传输 和 存储 的 过 程 中 不 能 被 算 改 ， 和 否则 交易 将 无 法 完成 或 所 做 交易 违背 交易 意图 。 

在 国内 PKI 体系 所 实现 的 方案 中 ， 目 前 通常 采用 SHA-1、MD-5、Hash 等 标准 散 列 算 
法 来 保证 数据 的 完整 性 。 在 实际 应 用 中 ， 通 信 双 方 通过 协商 以 确定 使 用 的 算法 和 密 铀 ， 从 
而 在 两 端 计 算 条 件 一 致 的 情况 下 ， 对 同一 数据 计算 出 相同 的 结果 来 保证 数据 不 被 算 改 ， 实 
现 数据 的 完整 性 。 

@ 信息 的 不 可 否认 性 。 不 可 否认 用 于 从 技术 上 保证 实体 对 他 们 行为 的 诚实 ， 即 参与 交 
互 的 双方 都 不 能 事后 否认 自己 曾经 处 理 过 的 每 笔 业务 。 在 这 中 间 ， 人 们 更 关注 的 是 数据 来 
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源 的 不 可 和 否认 性 、 发 送 方 的 不 可 否认 性 ， 以 及 接收 方 在 接收 后 的 不 可 否认 性 。 此 外 ， 还 有 
传输 的 不 可 否认 性 、 创 建 的 不 可 否认 性 和 同意 的 不 可 和 否认 性 等 。PKI 所 提供 的 不 可 和 否认 功 
能 ， 主 要 是 基于 数字 签名 及 其 所 提供 的 时 间 惟 服务 功能 。 

在 进行 数字 签名 时 ， 签 名 私 钥 只 能 被 签名 者 自己 掌握 ， 系 统 中 的 其 他 参与 实体 无 法 得 
到 该 密 钥 ， 进 而 只 有 签名 者 自己 能 做 出 相应 的 签名 ， 其 他 实体 是 无 法 做 出 这 样 的 签名 的 。 
这 样 ， 签 名 者 从 技术 上 也 就 不 能 否认 自己 做 过 该 签名 。 为 了 保证 签名 私 钥 的 安全 ， 一 般 要 
求 这 种 密 钥 只 能 在 防 算 改 的 硬件 令 牌 上 产生 ， 并 且 永 远 不 能 离开 令 牌 。 

PKI 提供 的 安全 时 间 截 服务 用 来 证 明 某 个 特别 事件 发 生 在 某 个 特定 的 时 间或 某 段 特别 
数据 在 某 个 日 期 已 存在 。 这 样 ， 签 名 者 对 自己 所 做 的 签名 将 无 法 进行 否认 。 

(4) PKI 的 特点 

PKI 是 以 公 钥 概念 与 技术 来 提供 具有 通用 性 的 安全 服务 ， 应 以 商业 驱动 而 不 是 以 技术 
为 中 心 来 实施 PKI 计划 。 其 特点 是 : 

@ 节省 费用 。 在 一 个 大 型 的 应 用 系统 中 ， 实 现 统一 的 安全 解决 方案 ， 比 实施 多 个 有 限 
的 解决 方案 ， 费 用 要 少 得 多 。 

@ 互 操作 性 。 在 一 个 系统 内 部 ， 实 施 多 个 点 对 点 的 解决 方案 ， 无 法 实现 互 操 作 性 。 在 
PKI 中 ， 每 个 用 户 程序 和 设备 都 以 相同 的 方式 访问 和 使 用 安全 服务 功能 。 

@ 开放 性 。 任何 先进 技术 的 早期 设计 ， 都 希望 在 将 来 能 和 其 他 系统 间 实 现 互 操作 ， 而 
一 个 专 有 的 点 对 点 技术 方案 不 能 处 理 多 域 间 的 复杂 性 ， 不 具有 开放 性 。 

@ 一 致 的 解决 方案 。 一 致 解决 方案 在 一 个 系统 内 更 易于 安装 、 管 理 和 维护 ， 并 且 开 
销 小 。 

@ 可 验证 性 。PKI 在 所 有 应 用 系统 和 设备 之 间 所 采用 的 交互 处 理 方式 都 是 统一 的 ， 因 
此 其 操作 和 交互 都 可 以 被 验证 是 否 正确 。 

@ 可 选择 性 。PKI 为 管理 员 和 用 户 提供 了 许多 可 选择 性 。 

2. PKI 的 目的 


从 广义 上 讲 ， 任 何 提供 公 钥 加 密 和 数字 签名 服务 的 系统 ， 都 可 叫做 PKI 系统 ，PKI 的 
主要 目的 是 通过 自动 管理 密 铀 和 证 书 ， 能 够 为 用 户 建立 起 一 个 安全 的 网 络 运行 环境 ， 使 用 
户 能 够 在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ， 从 而 确保 网 上 数据 的 机 密 性 、 
完整 性 、 有 效 性 。 一 个 有 效 的 PKI 系统 必须 是 安全 的 和 透明 的 ， 用 户 在 获得 加 密 和 数字 签 
名 服务 时 ， 无 需 周详 地 了 解 PKI 是 怎样 管理 证 书 和 密 钥 的 。 

3. PKI 的 实体 构成 


从 广义 上 讲 ，PKI 体系 是 一 个 集 网 络 建设 、 软 硬件 开发 、 信 息 安全 技术 、 策 略 管理 和 
相关 法 律 政策 为 一 体 的 大 型 的 、 复 杂 的 、 分布 式 的 综合 系统 。 一 个 典型 、 完 整 、 有 效 的 PKI 
系统 至 少 应 由 以 下 部 分 组 成 : 认证 中 心 CA、 证 书库 (Certificate Repository，CR)、 应 用 程 
序 接口 (Application Programming Interface，API)、 密 钥 备 份 及 恢复 系统 和 证 书 废除 系统 、 
客户 端 证 书 处 理 系统 。 除 此 之 外 ， 一 个 PKI 系统 的 运行 少不了 证 书 的 申请 者 和 证 书信 任 方 
的 参与 。 其 中 ， 认 证 中 心 、 注 册 机 构 (Registration Authority，RA) 和 证 书库 3 个 部 分 是 
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PKI 的 核心 内 容 ; 应 用 程序 接口 则 是 指 提 供 PKI 各 种 基础 服务 的 应 用 程序 接口 ， 使 得 各 种 
应 用 可 以 与 PKI 交互 ,起 到 了 桥梁 和 纽带 作用 ; 密 钥 备份 及 恢复 系统 和 证 书 废除 系统 实质 
上 是 从 CA 中 分 离 出 来 的 功能 ;证 书 申请 者 和 证 书信 任 方 则 是 利用 PKI 进行 网 上 交易 的 参 
与 者 。PKI 的 各 个 部 分 在 具体 应 用 中 所 实现 的 功能 是 有 弹性 的 ， 并 不 是 所 有 的 功能 都 会 出 
现在 应 用 中 ，PKI 的 许多 详细 功能 需要 根据 业务 的 操作 规程 来 确定 。 

(1) 认证 中 心 CA 

PKI 的 核心 是 信任 关系 的 建立 和 管理 。 直 接 信任 和 第 三 方 信任 是 所 有 网 络 安全 产品 实 
现 的 基础 。 假 设 甲 国 公民 A 和 乙 国 公民 B 互相 不 认识 ， 更 不 信任 对 方 ， 如 果 存 在 公正 的 可 
信任 的 第 三 方 C〈 例 如 护照 签发 机 关 )， 使 A 和 了 B 都 直接 信任 C， 那 么 此 时 公民 A 和 了 B 就 
可 以 信任 对 方 了 ， 这 就 是 所 谓 的 第 三 方 信任 。 由 此 可 以 看 出 在 建立 第 三 方 信任 时 ， 公 正 、 
可 信任 的 第 三 方 C 对 于 信任 关系 的 建立 和 巩固 起 到 至 关 重 要 的 作用 。 而 认证 中 心 CA 就 扮 
演 着 这 样 一 个 具有 权威 性 的 第 三 方 角 色 ， 是 PKI 的 主要 组 成 部 分 之 一 。 其 核心 职责 就 是 认 
证 用 户 的 身份 ， 为 信息 安全 提供 有 效 的 、 可 靠 的 保护 机 制 ， 包 括 机 密 性 、 身 份 验 证 特性 、 
不 可 否认 性 (交易 的 各 方 不 可 否认 它们 的 参与 )。 证 书 机 制 是 目前 被 广泛 采用 的 一 种 安全 机 
制 ; 使 用 证 书 机 制 的 前 提 是 建立 认证 中 心 ， 以 及 配套 的 注册 机 构 系 统 。 

CA 是 数字 证 书 的 签发 机 构 ， 是 PKI 的 核心 ， 并 且 是 PKI 应 用 中 权威 的 、 可 信任 的 、 
公正 的 第 三 方 机 构 。RA 系统 是 CA 证 书 发 放 、 管理 的 延伸 ， 具 体 负责 证 书 申请 者 的 信息 录 
入 、 审 核 以 及 证 书 发 放 等 工作 ， 同 时 对 发 放 的 证 书 完成 相应 的 管理 功能 ， 发 放 的 数字 证 书 
可 以 存放 于 IC 卡 、 硬 盘 或 软盘 等 介质 中 ;RA 系统 是 整个 CA 得 以 正常 运营 不 可 缺少 的 一 
部 分 。 

(2) 证 书 和 证 书库 CR 

证 书 是 数字 证 书 或 电子 证 书 的 简称 ， 是 构成 PKI 的 基本 元 素 。 它 是 参与 网 上 信息 交流 
及 商务 交易 活动 的 各 个 实体 〈 例 如 持 卡 人 、 企 业 、 商 家 和 银行 等 ) 的 身份 证 明 ， 可 证 明 该 
用 户 的 真实 身份 和 公 钥 的 合法 性 ， 以 及 该 用 户 与 公 钥 的 匹配 关系 。 它 相当 于 护照 ， 而 且 是 
一 种 “电子 护照 ”。 

CR 是 CA 颁发 证 书 和 撤销 证 书 的 集中 存放 地 ， 是 网 上 的 一 种 公共 信息 库 ， 供 广大 公众 
进行 开放 式 查 询 。 

证 书 以 及 证 书 撤销 信息 的 分 发 办 法 是 发 布 ， 其 思想 是 将 PKI 的 信息 放 在 一 个 广为人知 
的 、 公 开 且 容易 访问 的 地 点 ， 这 对 广大 用 户 群 体 来 说 十 分 重要 ， 因 为 即使 属于 同一 群体 中 
的 人 也 难以 互相 认识 。 

到 证 书库 访问 查询 ， 可 以 得 到 希望 与 之 通信 实体 的 公 钥 。 若 甲 想 与 乙 进 行 保密 通信 ， 
就 必须 找到 乙 的 公 钥 ,而 证 书签 发 机 构 事先 已 将 乙 的 身份 与 其 公 钥 捆绑 ,进行 了 数字 签名 ， 
发 布 在 证 书库 中 。 甲 可 以 通过 某 种 可 靠 的 、 安 全 的 方式 从 证 书库 中 找到 乙 的 证 书 ， 从 而 得 
到 其 公 钥 。 

由 于 证 书 的 不 可 伪造 性 ， 因 此 可 以 在 数据 库 中 公布 ， 而 无 须 其 他 的 安全 措施 来 保护 这 
些 证 书 。 现 在 通常 的 做 法 是 将 证 书 和 证 书 撤销 信息 发 布 到 一 个 数据 库 〈 证 书库 ) 中 ， 客 户 
端 可 以 通过 多 种 访问 协议 从 证 书库 中 实时 查询 证 书 和 证 书 撤销 信息 。 
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证 书库 支持 分 布 式 存放 , 当 PKI 所 支持 的 环境 扩充 到 几 十 万 个 或 上 百 万 个 用 户 时 , PKI 
信息 的 及 时 和 强 有 力 的 分 布 机 制 就 显得 非常 关键 ， 例 如 目录 服务 器 的 分 布 式 存放 。 这 是 任 
何 一 个 大 规模 的 PKI 系统 成 功 实施 的 基本 需求 ， 也 是 创建 一 个 有 效 认 证 机 构 CA 的 关键 技 
术 之 一 。 

(3) 应 用 程序 接口 API 

PKI 的 价值 在 于 使 用 户 能 够 方便 地 使 用 加 密 、 数 字 签名 、 身 份 认证 等 安全 服务 ， 因 此 
一 个 完整 的 PKI 必须 提供 良好 的 应 用 程序 接口 系统 ， 使 得 各 种 各 样 的 应 用 能 够 以 安全 、 一 
致 、 可 信 的 方式 与 PKI 交互 ， 确 保 网 络 环境 的 可 信 性 、 完 整 性 和 经 济 性 。 

(4) 密 钥 备份 及 恢复 系统 

密 钥 备份 及 恢复 是 PKI 密 钥 管理 的 重要 内 容 之 一 。 如 果 某 用 户 由 于 某 种 原因 不 慎 丢 失 
了 密 钥 ， 则 意味 着 加 密 数 据 的 完全 丢失 ， 那 么 就 有 可 能 造成 合法 的 数据 大 量 丢 失 ， 导 致 不 
可 挽回 的 巨大 经 济 损失 。 为 了 避免 灾难 的 发 生 ，PKI 提供 了 密 钥 备份 及 恢复 系统 。 当 用 户 
证 书生 成 的 同时 ， 解 密 密 钥 就 被 CA 备份 并 存储 起 来 ， 当 需要 恢复 时 ， 用 户 只 需要 向 CA 
提出 申请 ，CA 就 会 为 用 户 自动 进行 恢复 。 当 然 , 签名 私 钥 为 确保 其 唯一 性 ,不 能 进行 备份 
和 恢复 。 

(5) 密 钥 和 证 书 的 更 新 系统 

与 日 常生 活 中 我 们 使 用 的 各 种 各 样 的 身份 证 件 相似 ， 证 书 也 有 自己 的 使 用 期 限 ， 而 且 
由 于 某 种 原因 在 有 效 期 内 也 可 能 作废 ,例如 密 钥 丢失 、 用 户 的 个 人 身份 信息 发 生 改变 、CA 
对 用 户 不 再 信任 或 者 用 户 对 该 CA 不 再 信任 等 各 种 情况 。 为 此 ， 证 书 和 密 钥 必须 要 有 一 定 
的 更 新 频率 。 证 书 的 更 新 方式 有 3 种 :更换 一 个 或 多 个 主题 的 证 书 ， 更换 由 某 一 对 密 钥 签 
发 的 所 有 证 书 ; 更 换 某 一 个 CA 签发 的 所 有 证 书 。 即 使 在 用 户 正常 使 用 证 书 的 过 程 中 ，PKI 
也 会 自动 不 定时 地 到 目录 服务 器 中 检查 证 书 的 有 效 期 , 当 有 效 期 将 满 时 ，CA 会 自动 启动 更 
新 程序 ,将 旧 证 书 列 入 作废 证 书 列表 〈 俗 称 黑 名 单 )， 同 时 生成 一 个 新 证 书 来 代替 原来 的 证 
书 ， 并 通知 用 户 。 

4. PKI 的 系统 功能 


PKI 系统 由 不 同 的 功能 模块 组 成 ， 分 别 具 有 不 同 的 系统 功能 ， 为 了 实现 所 提供 的 服务 
功能 而 有 机 地 组 成 PKI 认证 体系 。 下 面 将 分 别 介绍 PKI 体系 提供 的 系统 功能 。 

(1) 证 书 申请 和 审批 

作为 以 数字 证 书 为 核心 实现 的 PKI 安全 系统 ， 证 书 申 请 和 审批 功能 是 最 基本 的 要 求 。 
其 备 证 书 的 申请 和 审批 功能 ， 提 供 灵活 、 方 便 的 申请 方式 ， 高 效 、 可 靠 的 审批 系统 ， 可 以 
保证 由 该 PKI 体系 提供 安全 服务 的 各 方 能 顺利 地 得 到 所 需要 的 证 书 。 

证 书 的 申请 和 审批 功能 直接 由 CA 或 面向 终端 用 户 的 注册 审核 机 构 RA 来 完成 。 

对 于 行业 性 质 的 大 范围 PKI 体系 ， 证 书 的 申请 和 审批 一 般 是 由 RA 来 完成 的 。 如 果 是 
通过 RA 来 完成 该 功能 ， 申 请 者 需 在 该 注册 机 构 RA 进行 注册 ， 申 请 证 书 。 一 般 流 程 是 : 
户 直 接 从 RA 处 获得 申请 表 ， 填 写 相 关内 容 ， 提 交 给 RA， 由 RA 对 相关 内 容 进 行 审核 并 
决定 是 否 通过 该 证 书 申请 。 通过 后 , RA 将 申请 请 求 及 审批 通过 的 信息 提交 给 相应 的 认证 中 
心 CA, 由 CA 进行 证 书 的 签发 。 证书 的 申请 和 审批 方式 有 离线 和 在 线 两 种 ,终端 用 户 可 视 
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具体 情况 选择 合适 的 方式 。 

有 些 简单 的 PKI 系统 中 ，CA 和 RA 是 一 体 的 ， 即 证 书 的 申请 、 审 批 和 签发 一 并 由 CA 

来 完成 。 

(2) 产生 、 验 证 和 分 发 密 钥 
用 户 公 / 私 钥 对 的 产生 、 验 证 及 分 发 有 两 种 方式 : 用 户 自己 产生 或 由 代理 产生 。 这 由 政 
策 CA 机 构 PCA 的 策略 决定 。 

@ 用 户 自己 产生 密 钥 对 
用 户 自己 选取 产生 密 钥 的 方法 ， 负 责 私 钥 的 存放 ; 用 户 还 应 该 向 CA 提交 自己 的 公 钥 
和 身份 证 明 ，CA 对 用 户 进行 身份 认证 ,对 密 钥 的 强度 和 持 有 者 进行 审核 。 在 审核 通过 的 情 
况 下 ， 对 用 户 的 公 钥 产生 证 书 ; 然后 通过 面对面 、 信 件 或 电子 方式 将 证 书 安全 地 发 放 给 用 
户 ; 最 后 ，CA 负责 将 证 书 发 布 到 相应 的 目录 服务 器 。 

在 某 些 情况 下 ， 用 户 自 己 产生 了 密 钥 对 后 ， 也 可 到 在 线 证 书 审核 机 构 (ORA) 去 申请 
证 书 。 此 时 ， 由 ORA 完成 对 用 户 的 身份 认证 。 通 过 后 ，ORA 将 以 数字 签名 的 方式 向 CA 
提供 用 户 的 公 钥 及 相关 信息 ; CA 完成 对 公 钥 强度 检测 后 产生 证 书 ， 并 将 签名 的 证 书 返 给 
ORA， 并 由 ORA 发 放 给 用 户 或 者 CA 通过 电子 方式 将 证 书 发 放 给 用 户 。 

@ CA 为 用 户 产生 密 钥 对 

这 种 情况 下 ,用 户 应 到 CA 中 心 产生 并 获得 密 钥 对 。 产生 之 后 ，CA 中 心 应 自动 销毁 本 
地 的 用 户 私 钥 备 份 ; 用 户 取得 密 钥 对 后 , 保存 好 自己 的 私 钥 , 然后 将 公 钥 送 至 CA 或 ORA， 
再 按照 上 述 方式 申请 证 书 。 

@ CA (包括 政策 批准 机 构 PAA、 政 策 CA 机 构 PCA、CA) 自己 产生 自己 的 密 钥 对 

PCA 的 公 钥 证 书 由 PAA 签发 , 并 得 到 PAA 的 公 钥 证 书 。CA 的 公 钥 由 上 级 PCA 签发 ， 
并 取得 上 级 PCA 的 公 钥 证 书 ; 当 它 签发 下 级 (用 户 或 ORA) 证 书 时 ,向 下 级 发 送 上 级 PCA 
及 PAA 的 公 钥 证 书 。 

(3) 证 书签 发 和 下 载 

证 书签 发 是 PKI 系统 中 的 认证 中 心 CA 的 核心 功能 。 完 成 了 证 书 的 申请 和 审批 后 ， 将 
由 CA 签发 相应 证 书 ， 其 中 由 CA 所 生成 的 证 书 格式 应 符合 X.509 V3 标准 。 

证 书 的 发 放 分 为 离线 方式 和 在 线 方式 两 种 。 

离线 方式 包括 两 个 步骤 : 一 是 证 书 申请 被 批准 注册 后 ,RA 端的 应 用 程序 初始 化 申请 者 
的 信息 , 在 轻 量 级 目录 访问 协议 LDAP 目录 服务 器 中 添加 证 书 申请 人 的 有 关 信息 ; 二 是 RA 
初始 化 信息 后 传 给 CA，CA 将 相应 的 一 次 性 口令 和 认证 码 通 过 可 靠 途径 (电子 邮件 或 保密 
信封 ) 传递 给 证 书 申 请 者 ， 证 书 申请 者 在 RA 处 输入 口令 和 认证 码 等 正确 信息 后 ， 在 现场 
领取 证 书 。 证 书 可 存 入 软盘 或 者 存放 于 USBKey 中 。 

在 线 方式 包括 3 个 步骤 : 一 是 RA 端 首先 从 CA 处 接收 到 该 申请 的 一 次 性 口令 和 认证 
人 码 , 然后 由 RA 将 其 交 给 证 书 申请 者 ; 二 是 证 书 申请 者 通过 Internet 登录 网 上 银行 网 站 , 通 
过 浏览 器 安装 根 CA 的 证 书 ; 三 是 申请 者 在 银行 的 网 页 上 ， 按 提示 输入 从 RA 处 拿 到 的 口 
令 和 认证 码 信息 ， 之 后 就 可 以 下 载 自己 的 证 书 了 。 

证 书 发 放 方式 因 各 个 RA 的 规定 而 有 所 不 同 ， 选 择 离线 方式 还 是 在 线 方式 由 RA 视 不 
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同 的 应 用 来 决定 。 

(4) 签名 和 验证 

在 PKI 体系 中 ， 对 信息 和 文件 的 签名 ， 以 及 对 数字 签名 的 认证 是 很 普遍 的 操作 。 

PKI 成 员 对 数字 签名 和 认证 可 以 采用 多 种 算法 ， 例 如 RSA、ECC、DES 等 ， 这 些 算 法 
可 以 由 硬件 、 软 件 或 硬 软 结合 的 加 密 模 块 〈 硬 件 ) 来 完成 。 密 钥 和 证 书 可 以 存放 在 内 存 、 
IC 卡 、USBKey 光盘 或 软盘 中 。 

(5) 证 书 的 获取 

在 验证 信息 的 数字 签名 时 ， 用 户 必 须 事先 获取 信息 发 送 者 的 公 角 证书， 以 对 信息 进行 
解密 验证 ， 同 时 还 需要 CA 对 发 送 者 所 发 的 证 书 进行 验证 ， 以 确定 发 送 者 身份 的 有 效 性 。 
证 书 可 以 通过 多 种 方式 获取 : 发 送 者 发 送 签名 信息 时 ， 附 加 发 送 自己 的 证 书 ; 通过 单独 发 
送 证 书信 息 的 通道 ， 可 从 访问 发 布 证 书 的 目录 服务 器 获得 ; 或 者 从 证 书 的 相关 实体 RA 处 
获得 。 在 PKI 体系 中 ， 可 以 采取 上 述 的 某 种 或 几 种 方式 获得 证 书 。 

在 发 送 数字 签名 证 书 的 同时 ， 可 以 发 布 证 书 链 。 这 时 ， 接 收 者 拥有 证 书 链 上 的 每 一 个 
证 书 ， 从 而 可 以 验证 发 送 者 的 证 书 。 检 验 过 程 如 下 : 通过 检查 发 送 者 证 书 的 发 放 机 构 CA， 
从 CA 中 的 目录 服务 器 取得 该 CA 证 书 ， 并 重复 该 证 书 链 上 的 CA 根 证 书 的 验证 。 

(6) 证 书 和 目录 查询 

因为 证 书 都 存在 周期 间 题 , 所 以 进行 身份 验证 时 要 保证 当前 证 书 是 有 效 并 且 没 过 期 的 ; 
另外 ， 还 有 可 能 因 密 钥 泄 露 、 证 书 持 有 者 身份 、 机 构 代码 改变 等 问题 ， 使 证 书 需要 更 新 。 
因此 ， 在 通过 数字 证 书 进行 身份 认证 时 ， 要 保证 证 书 的 有 效 性 。 为 了 方便 对 证 书 有 效 性 的 
验证 ，PKI 系统 提供 了 对 证 书 状 态 信息 的 查询 ， 以 及 对 证 书 撤销 列表 的 查询 机 制 。 

CA 的 目录 查询 通过 LDAP 协议 ， 实 时 地 访问 证 书目 录 和 证 书 撤销 列表 ， 提 供 实时 在 
线 查 询 ， 以 确认 证 书 的 状态 。 这 种 实时 性 要 求 是 由 金融 业务 或 其 他 电子 政务 应 用 的 高 度 敏 
感性 和 高 度 安全 性 所 决定 的 。 

(7) 证 书 撤销 

证 书 在 使 用 过 程 中 可 能 会 因为 各 种 原因 而 被 废止 ， 例 如 密 钥 泄密 、 相 关 从 属 信息 变更 、 
密 钥 有 效 期 中 止 或 者 CA 本 身 的 安全 隐患 等 。 因 此 ， 证 书 撤销 服务 也 必须 是 PKI 的 一 个 必 
需 功能 。 该 系统 提供 了 成 熟 、 易 用 、 标 准 的 证 书 列 表 作废 系统 ， 可 供 有 关 实 体 查询 ， 对 证 
书 进行 验证 。 

(8) 密 钥 备 份 和 恢复 

密 钥 的 备份 和 恢复 是 PKI 中 的 一 个 重要 内 容 。 因 为 很 多 原因 可 能 会 造成 丢失 解密 数据 
的 密 钥 ， 那 么 被 加 密 的 密 文 将 无 法 解 开 ， 从 而 造成 数据 丢失 。 为 了 避免 这 种 情况 的 发 生 ， 
PKI 提供 了 密 钥 备 份 与 解密 密 钥 的 恢复 机 制 ， 即 密 钥 备份 与 恢复 系统 。 

在 PKI 中 ， 密 钥 的 备份 和 恢复 分 为 CA 自身 根 密 钥 和 用 户 密 钥 两 种 情况 。 

由 于 CA 根 密 钥 是 整个 PKI 安全 运营 的 基石 ， 其 安全 性 关系 到 整个 PKI 系统 的 安全 及 
正常 运行 ， 因 此 对 于 根 密 钥 的 产生 和 备份 要 求 很 高 。 根 密 钥 由 硬件 加 密 模块 在 加 密 机 中 产 
生 ， 其 备份 由 加 密 机 系统 管理 员 启 动 专用 的 管理 程序 执行 备份 过 程 。 备 份 方法 是 将 根 密 钥 
分 为 多 块 ， 为 每 一 块 生成 一 个 随机 口令 ， 使 用 该 口令 加 密 该 模块 ， 然 后 将 加 密 后 的 密 钥 块 
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分 别 写 入 不 同 的 IC 卡 中 ,每 个 口令 以 一 个 文件 形式 存放 ， 每 人 保存 一 块 。 恢 复 密 钥 时 ， 由 
各 密 钥 备份 持 有 人 分 别 插入 各 自 保管 的 IC 卡 ， 并 输入 相应 的 口令 才能 恢复 密 钥 。 

至 于 用 户 密 钥 的 备份 和 恢复 ， 就 简单 多 了 。 在 CA 签发 用 户 证 书 时 ， 就 可 以 进行 密 钥 
备份 。 一 般 将 用 户 密 钥 存放 在 CA 的 资料 库 中 。 进 行 恢复 时 ， 根 据 密 钥 对 历史 存档 进行 恢 
复 。 在 完成 恢复 之 后 ， 相 应 的 软件 将 产生 一 个 新 的 签名 密 钥 对 来 代 蔡 旧 的 签名 密 钥 对 。 

(9) 自动 密 钥 更 新 

一 个 证 书 的 有 效 期 是 有 限 的 ， 这样 的 规定 既 有 理论 上 的 原因 ， 也 有 实际 操作 上 的 困难 。 
理论 上 有 密码 算法 和 固定 密 钥 长 度 被 破译 的 可 能 ， 实 际 应 用 中 ， 密 钥 必 须 有 一 定 的 更 换 频 
度 才能 保证 密 钥 使 用 的 安全 。 但 对 PKI 用 户 来 说 ， 手 工 完成 密 钥 更 新 几乎 是 不 可 行 的 ， 
为 用 户 经 常会 忽视 证 书 已 过 期 ， 只 有 使 用 失败 时 才能 发 觉 。 这 便 需 要 PKI 系统 提供 密 钥 的 
自动 更 新 功能 。 也 就 是 说 ， 无 论 用 户 的 证 书 用 于 何 种 目的 ， 在 认证 时 ， 都 会 在 线 自 动 检查 
有 效 期 ， 当 失效 日 期 到 来 之 前 的 某 个 时 间 间 隔 内 自动 启动 更 新 程序 ， 生 成 一 个 新 的 证 书 来 
代替 旧 证 书 ， 新 旧 证 书 的 序列 号 不 同 。 

由 于 加 密 密 钥 对 和 签名 密 钥 对 的 安全 性 要 求 不 同 , 其 密 钥 自动 更 新 过 程 并 不 完全 一 样 。 
对 于 加 密 密 钥 对 和 证 书 的 更 新 ，PKI 系统 采取 对 管理 员 和 用 户 透 明 的 方式 进行 ， 提 供 全 面 
的 密 钥 、 证 书 及 生命 周期 的 管理 。 系 统 对 快要 过 期 的 证 书 进行 自动 更 新 ， 不 需要 管理 员 和 
用 户 干预 。 当 加 密 密 钥 对 接近 过 期 时 ， 系 统 将 生成 新 的 加 密 密 钥 对 。 这 个 过 程 基本 上 与 
证 书 发 放 过 程 相同 ， 即 CA 使 用 LDAP 协议 将 新 的 加 密 证 书 发 送 给 目录 服务 器 ， 以 供用 户 
下 载 。 

签名 密 钥 对 的 更 新 是 当 系统 检查 证 书 是 否 过 期 时 ， 对 接近 过 期 的 证 书 ， 将 创建 新 的 签 
名 密 钥 对 。 利 用 当前 证 书 建 立 与 认证 中 心 之 间 的 连接 ， 认 证 中 心 将 创建 新 的 认证 证 书 ， 并 
将 证 书 发 回 RA， 在 归档 的 同时 供用 户 在 线 下 载 。 

(10) 密 钥 历 史 档 案 

由 于 密 钥 的 不 断 更 新 ， 经 过 一 定 的 时 间 段 ， 每 个 用 户 都 会 形成 多 个 “ 旧 ” 证 书 和 至 少 
一 个 “当前 ” 证书。 这 一 系列 的 旧 证 书 和 相应 的 私 钥 就 构成 了 用 户 密 钥 和 证 书 的 历史 档案 ， 
简称 密 钥 历史 档案 。 密 钥 历史 档案 也 是 PKI 系统 的 一 个 必 不 可 少 的 功能 。 

例如 ， 某 用 户 儿 年 前 加 密 的 数据 或 其 他 人 用 他 的 公 钥 为 其 加 密 的 数据 ， 无 法 用 现在 的 
私 钥 解 密 ， 那么 就 需要 从 他 的 密 钥 历史 档案 中 找到 正确 的 解密 密 钥 来 解密 数据 。 与 此 类 似 ， 
有 时 也 需要 从 密 钥 历史 档案 中 找到 合适 的 证 书 验 证 以 前 的 签名 。 与 密 钥 更 新 相同 ， 密 钥 历 
史 档 案由 PKI 自动 完成 。 

(11) 交叉 认证 

交叉 认证 ， 简 单 地 说 就 是 把 以 前 无 关 的 CA 连接 在 一 起 的 机 制 ， 从 而 使 得 在 其 各 自主 
体 群 之 间 能 够 进行 安全 通信 。 其 实质 是 为 了 实现 大 范围 内 各 个 独立 PKI 域 的 互 连 互通 、 互 
操作 而 采用 的 一 种 信任 模型 。 

交叉 认证 从 CA 所 在 域 来 分 ， 有 两 种 形式 一 一 域内 交叉 认证 和 域 间 交 叉 认 证 。 域 内 交 
又 认证 即 进行 交叉 认证 的 两 个 CA 属于 相同 的 域 。 例 如 ， 在 一 个 组 织 的 CA 层次 结构 中 ， 
某 一 层 的 一 个 CA 认证 其 下 一 层 的 一 个 CA, 这 就 属于 域内 交叉 认证 。 域 间 交 叉 认 证 即 两 个 
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进行 交叉 认证 的 CA 属于 不 同 的 域 。 完 全 独立 的 两 个 组 织 中 的 CA 之 间 进 行 交叉 认证 ， 就 
是 域 间 交 叉 认 证 。 

交叉 认证 既 可 以 是 单 向 的 ， 也 可 以 是 双向 的 。 在 一 个 域内 ， 各 层次 CA 体系 结构 中 的 
交叉 认证 ， 只 允许 上 一 级 的 CA 向 下 一 级 的 CA 签发 证 书 ， 而 不 能 相反 ， 即 只 能 单 向 签发 
证 书 。 而 在 网 状 的 交叉 认证 中 , 两 个 相互 交叉 认证 通过 “ 桥 ? 一 一 CA 互相 向 对 方 签发 证 书 
即 双向 的 交叉 认证 。 

在 一 个 行业 、 一 个 国家 或 者 一 个 世界 性 组 织 等 这 样 的 大 范围 内 建立 PKI 域 ， 都 面临 着 
一 个 共同 的 问题 ， 即 该 大 范围 内 部 的 一 些 局 部 范围 内 可 能 已 经 建立 了 PKI 域 ， 由 于 业务 和 
应 用 的 需求 ， 这 些 局 部 范围 的 PKI 域 需要 进行 互 连 互通 、 互 操作 等 。 为 了 在 现 有 的 互 不 连 
通 的 信息 孤岛 一 一 PKI 域 之 间 进 行 互 通 ， 上 面 介绍 的 交叉 认证 便 成 为 合适 的 解决 方案 。 

上 面 提 到 了 交叉 认证 的 实质 ， 就 是 在 一 个 确定 的 范围 内 选择 合适 的 大 范围 PKI 域 信任 
模型 (例如 层次 型 的 、 网 状 的 或 桥接 的 等 )， 在 各 个 独立 运行 的 局 部 PKI 域 的 终端 实体 之 间 
建立 起 信任 关系 ， 从 而 实现 互 连 互通 。 在 实现 交叉 认证 的 方案 中 ， 核 心 问题 在 于 选择 合 i 
的 信任 模型 构建 大 范围 内 合理 的 CA 体系 结构 ， 根 据 需 要 建立 合理 的 目录 服务 体系 。 其 中 
难点 在 于 这 个 大 范围 内 的 不 同 PKI 域内 的 实体 之 间 如 何 高 效 地 建立 信任 路 径 并 有 效 验 证 该 
信任 路 径 。 为 了 防止 信任 链 的 随意 扩充 ， 造 成 不 可 信 的 信任 链 ， 可 以 采取 名 字 约 束 、 策 略 
约束 和 路 径 长 度 约束 等 限制 措施 。 

(12) 客户 端 软件 

完整 的 PKI 应 由 所 需 的 服务 器 和 客户 端 软件 两 部 分 构成 。 涉 及 到 的 服务 器 包括 CA 服 
务 器 、 证 书库 服务 器 、 备 份 和 恢复 服务 器 、 时 间 戳 服务 器 。 所 有 这 些 功能 的 实现 对 于 客户 
来 说 ， 还 不 能 直接 操作 ， 需 要 有 合理 的 客户 端 软件 帮助 客户 实现 这 些 系统 功能 。 

客户 端 软 件 是 一 个 全 功能 、 可 操作 PKI 的 必要 组 成 部 分 。 它 采取 客户 /服务 器 模型 为 用 
户 提供 方便 的 相关 操作 。 作 为 提供 公共 服务 的 客户 端 软件 应 当 独立 于 各 个 应 用 程序 ， 提 供 
统一 、 标 准 的 对 外 接口 ， 应 用 程序 通过 标准 接口 与 客户 端 软件 连接 。 如 果 没 有 客户 端 软件 ， 
也 就 无 法 有 效 地 享受 PKI 提供 的 众多 服务 。 

(13) 时 间 戳 服务 
间 戳 也 叫做 安全 时 间 戳 ， 是 一 个 可 信 的 时 间 权 威 ， 使 用 一 段 可 以 认证 的 完整 数据 来 
表示 。 最 重要 的 不 是 时 间 本 身 的 精确 性 ， 而 是 相关 时 间 、 日 期 的 安全 性 。 支 持 不 可 否认 服 
务 的 一 个 关键 因素 就 是 在 PKI 中 使 用 安全 时 间 戳 ， 也 就 是 说 ， 时 间 源 是 可 信 的 ， 时 间 值 必 
须 特 别 安全 地 传送 。 
KI 中 必须 存在 用 户 可 信任 的 权威 时 间 源 ， 权 威 时 间 源 提供 的 时 间 并 不 需要 正确 ， 仅 
仅 为 用 户 提 供 一 个 参照 “时 间 ”， 以便 完成 基于 PKI 的 事务 处 理 , 例如 事件 A 发 生 在 事件 B 
的 前 面 等 。 一 般 的 PKI 系统 中 都 设置 有 一 个 系统 时 钟 ， 用 以 统一 PKI 的 时 间 。 当 然 ， 也 可 
以 使 用 世界 官方 时 间 源 所 提供 的 时 间 , 实现 方法 是 从 网 络 中 的 权威 时 钟 位置 获 得 安全 时 间 。 
要 求实 体 在 需要 的 时 候 向 这 些 权威 请 求 在 数据 上 盖 上 时 间 戳 。 一 份 文档 上 的 时 间 惟 涉及 到 
对 时 间 和 文档 内 容 的 杂凑 值 〈 哈 希 值 ) 的 数字 签名 ， 权 威 的 签名 提供 了 数据 的 真实 性 和 完 
整 性 。 
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虽然 安全 时 间 堆 是 PKI 支持 的 服务 ,但 它 依然 可 以 在 不 依赖 PKI 的 情况 下 实现 安全 时 
间 惟 服务 。 一 个 PKI 体系 中 是 否 需 要 实现 时 间 惟 服务， 完全 视 应 用 的 需求 而 定 。 


5.3.2 PKI 的 相关 标准 


从 整个 PKI 体系 建立 与 发 展 的 历程 来 看 ， 与 PKI 相关 的 标准 主要 包括 以 下 几 个 。 

1. X.209 (1988) ASN.1 基本 编码 规则 

ASN.1 是 描述 在 网 络 上 传输 信息 格式 的 标准 方法 。 它 有 两 部 分 : 第 一 部 分 (ISO 
8824/ITU X.208) 描述 信息 内 的 数据 、 数 据 类 型 及 序列 格式 ， 也 就 是 数据 的 语法 ; 第 二 部 
分 (ISO 8825/ITU X.209) 描述 如 何 将 各 部 分 数据 组 成 消息 ， 也 就 是 数据 的 基本 编码 规则 。 

ASN.1 原来 是 作为 X.409 的 一 部 分 而 开发 的 ， 后 来 才 独 立地 成 为 一 个 标准 。 这 两 个 协 
议 除 了 在 PKI 体系 中 被 应 用 外 ， 还 被 广泛 应 用 于 通信 和 计算 机 的 其 他 领域 。 

2. X.500 (1993) 信息 技术 之 开放 系统 互联 标准 : 概念 、 模 型 及 服务 简 述 

X.500 是 一 套 已 经 被 国际 标准 化 组 织 ISO 接受 的 目录 服务 系统 标准 ， 它 定义 了 一 个 机 
构 如 何在 全 局 范围 内 共享 其 名 称 和 与 之 相关 的 对 象 。X.500 是 层次 性 的 ， 其 中 的 管理 域 (机 
构 、 分 支 、 部 门 和 工作 组 ) 可 以 提供 相应 的 用 户 和 资源 信息 。 在 PKI 体系 中 ，X.500 被 用 
来 唯一 标识 一 个 实体 ， 该 实体 可 以 是 机 构 、 组 织 、 个 人 或 一 台 服 务 器 。X.500 被 认为 是 实 
现 目录 服务 的 最 佳 途径 ， 但 其 实现 需要 较 大 的 投资 ， 并 且 比 其 他 方式 速度 慢 ， 而 其 优势 是 
具有 信息 模型 、 多 功能 和 开放 性 。 

3. X.509 (1993) 信息 技术 之 开放 系统 互联 标准 : 鉴别 框架 

X.509 是 由 国际 电信 联盟 ITU-T 制定 的 数字 证 书 标准 。 在 X.500 确保 用 户 名 称 唯 一 性 
的 基础 上 ，X.509 为 X.500 用 户 名 称 提 供 了 通信 实体 的 鉴别 机 制 ， 并 规定 了 实体 鉴别 过 程 
中 广泛 适用 的 证 书 语 法 和 数据 接口 。 

X.509 的 最 初版 本 公布 于 1988 年 。X.509 证 书 由 用 户 公共 密 钥 和 用 户 标识 符 组 成 。 此 
外 ， 还 包括 版 本 号 、 证 书 序列 号 、CA 标识 符 、 签 名 算法 标识 、 签 发 者 名 称 、 证 书 有 效 期 
等 信息 。 这 一 标准 的 最 新 版 本 是 X.509 V3， 其 中 定义 了 包含 扩展 信息 的 数字 证 书 。 该 版 数 
字 证 书 提供 了 一 个 扩展 信息 字段 ， 可 用 来 提供 更 多 的 灵活 性 及 特殊 应 用 环境 下 所 需 的 信息 
传送 。 

4. PKCS 系列 标准 

PKCS 是 由 美国 RSA 数据 安全 公司 及 其 合作 伙伴 制定 的 一 组 公 钥 密码 学 标准 ， 其 中 包 
括 证 书 申请 、 证 书 更 新 、 证 书 作 废 表 发 布 、 扩 展 证 书 内 容 以 及 数字 签名 、 数 字 信封 的 格式 
等 方面 的 一 系列 相关 协议 。 

5.， 在线 证 书 状态 协议 OCSP 

在 线 证 书 状态 协议 (Online Certificate Status Protocol，OCSP ) 是 IETF 颁布 的 用 于 检查 
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数字 证 书 在 某 一 交易 时 刻 是 否 仍然 有 效 的 标准 。 该 标准 提供 给 PKI 用 户 一 条 方便 、 快 捷 的 
数字 证 书 状态 查询 通道 ， 使 PKI 体系 能 够 更 有 效 、 更 安全 地 在 各 个 领域 中 被 广泛 应 用 。 

6. 轻 量 级 目录 访问 协议 LDAP 

LDAP 规范 (RFC1487) 简化 了 笨重 的 X.500 目录 访问 协议 ， 并 且 在 功能 性 、 数 据 表 
示 、 编 码 和 传输 方面 都 进行 了 相应 的 修改 。 1997 年 , LDAP V3 成 为 互联 网 标准 。 目 前 , LDAP 
V3 在 PKI 体系 中 被 广泛 应 用 于 证 书信 息 发 布 、 证 书 撤销 列表 CRL 信息 发 布 、CA 政策 以 
及 与 信息 发 布 相关 的 各 个 方面 。 

除了 以 上 协议 外 ， 还 有 一 些 构建 在 PKI 体系 上 的 应 用 协议 ， 这 些 协议 是 PKI 体系 在 应 
用 和 普及 化 方面 的 代表 作 ， 包 括 SET 协议 和 SSL 协议 。 

目前 PKI 体系 中 已 经 包含 了 众多 的 标准 和 协议 ， 由 于 PKI 技术 的 不 断 进步 和 完善 ， 以 
及 其 应 用 的 不 断 普及 ， 将 来 还 会 有 更 多 的 标准 和 协议 加 入 。 


5.4 PKI 应 用 举例 


PKI 作为 一 种 基础 设施 ， 其 应 用 范围 非常 广泛 ， 并 且 在 不 断 发 展 之 中 ， 这 里 主要 介绍 
当前 技术 领域 里 PKI 技术 的 几 个 比较 典型 的 应 用 实例 。 

1. 虚拟 专用 网 络 VPN 一 一 PKI with IPSec 

在 过 去 几 年 中 ，VPN 越 来 越 为 企业 所 青睐 。 它 是 一 种 架构 在 公用 通信 基础 设施 上 的 专 
用 数据 通信 和 网络， 利用 网 络 层 安全 协议 (尤其 是 IPSec) 和 建立 在 PKI 上 的 加 密 与 签名 技 
术 来 获得 私有 性 。 同 租用 线路 等 方法 相 比 ，VPN 既 节省 开销 又 易于 安装 和 使 用 ， 已 经 成 为 
企业 架构 Intranet 和 Extranet 的 首选 。 

基于 PKI 技术 的 IPSec 协议 现在 已 经 成 为 架构 VPN 的 基础 ， 它 可 以 为 路 由 器 之 间 、 防 
火 墙 之 间或 者 路 由 器 和 防火 墙 之 间 提 供 经 过 加 密 和 认证 的 通信 。 虽 然 它 的 实现 会 复杂 一 些 ， 
但 其 安全 性 比 其 他 协议 都 完善 得 多 。 由 于 IPSec 是 卫 层 上 的 协议 ， 因 此 很 容易 在 全 世界 范 
围 内 形成 一 种 规范 ,具有 非常 好 的 通用 性 , 而 且 IPSec 本 身 就 支持 面向 未 来 的 协议 一 一 IPv6。 
总 之 , IPSec 还 是 一 个 发 展 中 的 协议 , 随 着 成 熟 的 公 钥 密码 技术 越 来 越 多 地 嵌入 到 IPSec 中 ， 
相信 在 未 来 几 年 内 ， 该 协议 会 在 VPN 世界 里 扮演 越 来 越 重 要 的 角色 。 

2. 安全 电子 邮件 一 一 PKI with S/MIME 


作为 Internet 上 最 有 效 的 应 用 , 电子 邮件 凭借 其 易 用 、 低 成 本 和 高 效 已 经 成 为 现代 社会 
一 种 标准 的 信息 交换 工具 。 不 过 ， 由 此 引发 的 安全 问题 也 日 益 突出 。 

(1) 邮件 和 附件 可 以 在 不 为 通信 双方 所 知 的 情况 下 被 读 取 、 算 改 或 截取 。 

(2) 没有 办 法 可 以 确定 一 封 电子 邮件 是 否 真 的 来 自 某 人 ， 也 就 是 说 ， 发 信者 的 身份 可 
能 被 人 伪造 。 

前 一 个 问题 是 安全 ， 后 一 个 问题 是 信任 。 正 是 由 于 安全 和 信任 的 缺乏 ， 使 得 公司 、 机 
构 一 般 都 不 用 电子 邮件 交换 关键 的 商务 信息 ， 虽 然 电子 邮件 本 身 有 着 如 此 之 多 的 优点 。 
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其 实 ， 电 子 邮 件 的 安全 需求 也 是 机 密 性 、 完 整 性 、 认 证 和 不 可 否认 性 ， 而 这 些 都 可 以 
利用 PKI 技术 来 获得 。 具 体 地 说 ， 利 用 数字 证 书 和 私 钥 ， 用 户 可 以 对 他 所 发 的 邮件 进行 数 
字 签 名 ， 这 样 就 可 以 获得 认证 、 完 整 性 和 不 可 否认 性 。 如 果 证 书 是 由 其 所 属 公司 或 某 一 可 
信 第 三 方 颁发 的 ， 收 到 邮件 的 人 就 可 以 信任 该 邮件 的 来 源 ， 无 论 他 是 否认 识 发 邮件 的 人 ; 
另 一 方面 ， 在 政策 和 法 律 允许 的 情况 下 ， 用 加 密 的 方法 就 可 以 保障 信息 的 保密 性 。 

现实 中 ，PGP 加 密 已 经 在 电子 邮件 通信 中 得 到 了 一 定 范围 内 的 应 用 ， 这 也 是 一 种 公 钥 
加 密 体 制 ， 但 所 使 用 的 范围 比较 狭窄 ， 需 要 通信 双方 事先 沟通 。 而 基于 PKI 的 安全 电子 邮 
件 则 具有 普遍 意义 ， 因 为 PKI 的 用 户 群 可 以 是 开放 的 。 

目前 发 展 很 快 的 安全 电子 邮件 协议 是 SIMIME (The Secure Multipurpose Internet Mail 
Extension), 这 是 一 个 允许 发 送 加 密 和 有 签名 邮件 的 协议 。 该 协议 的 实现 需 依赖 于 PKI 技术 。 

3. Web 安全 一 一 PKI with SSL 

浏览 Web 页 面 或 许 是 人 们 最 常用 的 访问 Internet 的 方式 。 一 般 的 浏览 也 许 并 不 会 让 人 
产生 不 妥 的 感觉 ， 可 是 当 填 写 表单 数据 时 ， 您 有 没有 意识 到 自己 的 私人 敏感 信息 可 能 会 被 
一 些 居心 区 测 的 人 截获 ， 而 如 果 您 或 您 的 公司 要 通过 Web 进行 一 些 商业 交易 ， 如 何 保证 交 
易 的 安全 呢 ? 

为 了 透明 地 解决 Web 的 安全 问题 ， 最 合适 的 入 手 点 是 浏览 器 。 现 在 ， 无 论 是 Internet 
Explorer 还 是 Netscape Navigator， 都 支持 SSL 协议 。 这 是 一 个 在 传输 层 和 应 用 层 之 间 的 安 
全 通信 层 ， 在 两 个 实体 进行 通信 之 前 ， 先 要 建立 SSL 连接 ， 以 此 实现 对 应 用 层 透明 的 安全 
通信 。 利 用 PKI 技术 ，SSL 协议 允许 在 浏览 器 和 服务 器 之 间 进 行 加 密 通信 。 此 外 ， 还 可 以 
利用 数字 证 书 保证 通信 安全 ， 服 务 器 端 和 浏览 器 端 分 别 由 可 信 的 第 三 方 颁发 数字 证 书 ， 交 
易 时 双方 可 以 通过 数字 证 书 确 认 对 方 的 身份 。 需 要 注意 的 是 ，SSL 协议 本 身 并 不 能 提供 对 
不 可 和 否认 性 的 支持 ， 这 部 分 的 工作 必须 由 数字 证 书 来 完成 。 

结合 SSL 协议 和 数字 证 书 ，PKI 技术 可 以 保证 Web 交易 多 方面 的 安全 需求 ， 使 Web 
上 的 交易 和 面对面 的 交易 一 样 安全 。 

4. 应 用 程序 接口 API 


协议 标准 是 系统 具有 可 交互 性 的 前 提 和 基础 ， 它 规范 了 PKI 系统 各 部 分 之 间 相 互通 信 
的 格式 和 步骤 ， 而 应 用 程序 接口 API 则 定义 了 如 何 使 用 这 些 协议 ， 并 为 上 层 应 用 提供 PKI 
服务 。 当 应 用 需要 使 用 PKI 服务 时 ， 例 如 获取 某 一 用 户 的 公 钥 、 请 求证 书 废除 信息 或 请 求 
证 书 时 都 会 用 到 API。 目 前 API 没有 统一 的 国际 标准 ， 大 部 分 都 是 操作 系统 或 某 一 公司 产 
品 的 扩展 ， 并 在 其 产品 应 用 的 框架 内 提供 PKI 服务 。 

目前 ， 有 很 多 可 以 让 开发 者 选择 的 API 类 型 。IETF 建议 标准 为 通用 安全 服务 API 一 一 
GSS-API (Generic Security Service Application Program Interface)， 它 提供 了 一 种 接口 ， 与 
网 络 机 制 和 网 络 协议 相互 独立 地 实现 。 

欧洲 建立 的 SESAME (Secure European System for Applications in a Multi-Vendor 
Environment) 定义 了 一 些 安全 界面 ， 并 作为 该 组 织 发 展 的 安全 技术 的 一 部 分 。 该 接口 得 到 
了 欧洲 许多 著名 厂商 的 支持 ， 如 Bull SA、ICL 和 Seimens 等 ， 但 没有 在 美国 得 到 支持 ， 特 
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别 是 一 些 大 的 厂商 ， 如 Microsoft 和 Netscape 等 。 


目前 在 API 市 场 上 处 于 领先 地 位 的 是 Microsoft 的 CryptoAPI 和 Intel 的 公用 数据 安全 
框架 CDSA (Common Data Security Architecture)， 它 们 凭借 各 自 的 产品 优势 相互 竞争 。 
Microsoft 主要 是 利用 其 广泛 的 操作 系统 市 场 ， 而 Intel 则 凭借 其 PC 芯片 的 优势 ， 并 与 其 他 
厂商 (如 IBM、Entrust 和 Netscape 等 ) 进行 联合 ， 共 同 支持 CDSA。 现 在 也 有 很 多 厂商 的 
PKI 产品 同时 支持 这 两 种 API， 如 Entrust 等 。 PKIX 在 很 多 情况 下 支持 CDSA， 并 建议 其 为 
Architecture for Public Key Infrastructure 草案 的 标准 。 

除 此 之 外 ，Entrust、IBM、Intel、Netscape 和 TIS 等 联合 向 开放 组 织 (Open Group) 提 
议 了 一 个 基于 CDSA 的 加 密 和 证 书 管理 接口 ， 并 使 用 了 Entrust 的 CMS API、IBM 的 密 钥 
恢复 API， 但 开放 组 织 同时 也 在 考虑 使 用 PKCS #11 作为 安全 API 接口 。 


小 ” 结 


口令 机 制 是 一 种 最 简单 、 最 常用 的 系统 或 应 用 程序 访问 控制 的 方法 。 因 为 这 种 认证 用 
户 的 方法 简单 、 实 现 容 易 且 消耗 系统 资源 少 ， 至 今 仍 在 广泛 地 使 用 着 。 本 章 首先 介绍 了 口 
令 机 制 和 口令 所 面临 的 安全 威胁 ， 提 出 了 如 何 创建 安全 口令 和 维护 口令 安全 的 一 些 方法 和 
技术 。 

身份 鉴别 技术 在 信息 安全 中 处 于 非常 重要 的 地 位 ， 是 其 他 安全 机 制 的 基础 ， 是 安全 系 
统 中 的 第 一 道 关卡 。 本 章 介绍 了 身份 识别 的 相关 概念 、 身 份 识别 技术 和 生物 身份 认证 技术 。 

口令 是 用 于 身份 标识 和 验证 的 一 种 凭证 ， 以 密码 理论 为 基础 的 身份 认证 和 鉴别 是 访 
问 控制 和 审计 的 前 提 ， 对 网 络 环境 下 的 信息 安全 尤其 重要 ， 而 PKI 为 此 提供 了 全 面 的 解决 
方案 。 

公 钥 基础 设施 PKI， 是 基于 公开 密 钥 理论 和 技术 建立 起 来 的 安全 体系 ， 是 提供 信息 安 
全 服务 具有 普遍 性 的 安全 基础 设施 。 该 体系 在 统一 的 安全 认证 标准 和 规范 基础 上 提供 了 在 
线 身份 认证 ， 是 CA 认证 、 数 字 证 书 、 数 字 签 名 以 及 相关 的 安全 应 用 组 件 的 集合 。 

PKI 的 核心 是 解决 信息 网 络 空间 中 的 信任 问题 ， 确 定 信息 网 络 、 信 息 空间 中 各 种 经 济 、 
军事 和 管理 行为 的 主体 〈 包 括 组 织 和 个 人 ) 身份 的 唯一 性 、 真 实 性 和 合法 性 ， 为 组 织 机 构 
建立 和 维护 一 个 可 信赖 的 系统 环境 ， 透 明 地 为 应 用 系统 提供 身份 认证 、 数 据 保密 性 和 完整 
性 、 抗 抵赖 等 各 种 必要 的 安全 保障 ， 满 足 各 种 应 用 系统 的 安全 需求 。 

PKI 作为 一 种 基础 设施 ， 其 应 用 范围 非常 广泛 ， 这 里 介绍 了 在 虚拟 专用 网 络 VPN、 安 
全 电子 邮件 、Web 安全 、 应 用 程序 接口 API 等 方面 的 应 用 。 


练习 与 思考 


1. 口令 面临 的 安全 威胁 有 哪些 方面 ? 
2. 维护 口令 的 安全 应 从 哪些 方面 进行 ? 


@ 计算 机 网 络 安全 技术 与 应 用 


什么 是 身份 识别 ? 身份 识别 技术 有 哪些 ? 

身份 鉴别 可 利用 的 生物 特征 必须 满足 怎样 的 条 件 ? 
什么 是 PKI? 它 有 哪些 服务 功能 ? 

PKI 实体 由 哪儿 部 分 构成 ? 各 部 分 主要 完成 什么 功能 ? 
什么 是 CA? 它 的 功能 是 什么 ? 

什么 是 数字 证 书 ? 什么 是 时 间 戳 服务 ? 

什么 是 KMC? 它 主 要 完成 什么 功能 ? 


和 


防火 墙 工 作 原 理 及 应 用 


本 章 学 习 要 求 : 

(1) 了 解 防火 墙 的 基本 概念 、 发 展 简 史 、 目 的 、 功 能 、 局 限 性 及 其 发 展 动态 和 趋势 。 

(2) 了 解 防火 墙 的 不 同 分 类 方法 。 

(3) 掌握 包 过 滤 技 术 的 基本 原理 、 技 术 特 点 和 实现 方式 ， 了 解 包 过 滤 技 术 的 优 、 缺 点。 

(4) 掌握 代理 服务 技术 、 应 用 层 网 关 防 火 墙 和 电路 级 网 关 防 火 墙 的 基本 原理 、 技 术 特 
点 和 实现 方式 ， 了 解 代理 服 务 技术 的 优 、 缺 点 。 

(5) 了 解 状态 检测 技术 和 自 适应 代理 技术 的 基本 原理 和 技术 特点 。 

(6) 掌握 屏蔽 路 由 器 体系 结构 、 双 重 宿主 主机 体系 结构 、 屏 蔽 主机 体系 结构 和 屏蔽 子 
网 体系 结构 等 4 种 防火 墙 体系 结构 的 基本 组 成 。 

(7) 了 解 多 种 组 合体 系 结构 的 基本 组 成 。 

(8) 熟悉 防火 墙 的 产品 选 购 和 设计 策略 。 

(9) 了 解 个 人 版 防火 墙 的 特点 ， 了 解 瑞 星 个 人 版 防火 墙 的 操作 方法 。 


(1) 重点 : 包 过 滤 技 术 ; 代理 服务 技术 ;应 用 层 网 关 防 火 墙 和 电路 级 网 关 防 火 墙 ， 状 
态 检测 技术 和 自 适 应 代理 技术 的 基本 原理 、 技 术 特 点 和 实现 方式 ， 屏 蔽 路 由 器 体系 结构 、 
双重 宿主 主机 体系 结构 、 屏 蔽 主机 体系 结构 和 屏蔽 子 网 体系 结构 等 4 种 防火 墙 体系 结构 的 
基本 组 成 。 

(2) 难点 : 多 种 组 合体 系 结构 的 基本 组 成 。 


随 着 互联 网 的 发 展 和 网 络 应 用 的 不 断 深 入 , 来 自 网 络 外 部 和 内 部 的 安全 威胁 不 断 涌现 ， 
给 网 络 的 管理 者 和 使 用 者 带 来 了 极 大 的 困扰 。 防 火 墙 的 出 现 ， 在 一 定 程序 上 满足 了 人 们 对 
网 络 安全 的 要 求 。 

众所周知 ， 防 火 墙 (Firewall) 是 一 种 将 内 部 网 和 公用 网 〈 例 如 Internet) 分 开 的 方法 ， 
可 对 被 保护 的 网 络 与 Internet 网 络 之 间 , 或 者 与 其 他 网 络 之 间 进 行 的 信息 存 取 和 传递 操作 等 
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进行 控制 。 防 火 墙 可 以 作为 不 同 网 络 或 网 络 安全 域 之 间 信息 的 出 入 口 ， 能 根据 一 个 单位 的 
安全 策略 控制 出 入 网 络 的 信息 流 ， 且 本 身 具 有 较 强 的 抗 攻击 能 力 。 它 是 提供 信息 安全 服务 、 
实现 网 络 和 信息 安全 的 基础 设施 。 在 逻辑 上 ， 防 火 墙 是 一 个 分 离 器 、 一 个 限制 器 ， 也 是 一 
个 分 析 器 ， 有 效 地 监控 了 内 部 网 和 Internet 之 间 的 所 有 活动 ， 保 证 了 内 部 网 络 的 安全 。 

从 本 质 上 讲 ， 防 火 墙 是 一 种 访问 控制 系统 ， 除 了 可 以 用 来 保护 与 互联 网 相连 的 内 部 网 
外 ， 还 可 以 用 于 保护 其 他 网 络 对 象 ， 例 如 子 网 或 主机 。 

在 构建 安全 网 络 环境 的 过 程 中 ， 防 火 墙 作为 第 一 道 安全 防线 ， 正 受到 越 来 越 多 用 户 的 
关注 。 通 常 一 个 单位 在 购买 网 络 安全 设备 时 ， 总 是 把 防火 墙 放 在 首位 。 目 前 ， 防 火 墙 已 经 
成 为 世界 上 用 得 最 多 的 网 络 安全 产品 之 一 。 本 章 的 主要 目的 就 是 讲述 防火 墙 是 如 何 保证 网 
络 系统 安全 的 。 


6.1 ”防火 墙 概述 


6.1.1 防火 墙 的 基本 概念 


防火 墙 的 最 初 目的 ， 是 为 了 防止 火 和 热 的 蔓延 。 以 前 的 火车 都 是 用 蒸汽 机 提供 动力 的 
在 火车 头 里 面 有 一 个 烧 水 的 锅炉 ， 需 要 机 师 向 里 面 不 断 地 添 煤 ， 才 能 保证 有 持续 的 能 量 供 
给 。 但 是 当时 的 技术 不 能 保证 蒸汽 机 的 稳定 性 能 ， 经 常 出 现 爆炸 事件 。 一 旦 爆炸 ， 火 车 头 
里 的 机 师 肯 定 会 有 生命 危险 ， 而 且 火 势 也 会 莹 延 到 其 他 车 厢 ， 造 成 乘客 的 伤亡 。 

为 了 保护 车 厢 内 乘客 的 安全 , 有 人 想 出 了 一 种 办 法 一 一 在 车 头 和 车 厢 之 问 用 钢板 隔断 ， 
这 样 可 以 在 蒸汽 机 发 生 爆炸 的 时 候 ， 防 止 火势 蔓延 ， 从 而 保证 乘客 的 安全 。 这 就 是 最 初 的 
防火 墙 。 

从 这 里 可 以 看 出 防火 墙 的 基本 功能 : 它 是 一 个 位 于 内 部 和 外 部 之 间 的 安全 屏障 ， 可 以 
防止 外 部 的 某 种 威胁 。 但 是 防火 墙 不 能 防止 来 源 于 内 部 的 威胁 一 一 如 果 蒸 汽机 发 生 爆 炸 ， 
内 部 的 机 师表 定 还 会 遇难 。 

在 今天 的 信息 世界 里 ， 人 们 借助 了 这 个 概念 ， 使 用 防火 墙 来 保护 敏感 的 数据 不 被 窍 取 
和 算 改 ， 不 过 这 些 防火 墙 是 由 先进 的 计算 机 硬件 或 软件 系统 构成 的 。 

防火 墙 通 常 是 指 设置 在 不 同 网 络 例 如 可 信任 的 内 部 网 络 和 不 可 信任 的 外 部 网 络 ) 或 
网 络 安全 域 之 间 的 一 系列 部 件 的 组 合 。 它 是 一 种 必 不 可 少 的 安全 增长 点 ， 是 设置 在 被 保护 
网 络 和 外 部 网 络 之 间 的 一 道 屏障 ， 也 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入 口 ， 能 
根据 网 络 安 全 策略 控制 (允许 、 拒 绝 、 监 测 ) 出 入 网 络 的 信息 流 ， 且 本 身 具 有 较 强 的 抗 攻 
击 能 力 。 它 是 提供 信息 安全 服务 、 实 现 网 络 和 信息 安全 的 基础 和 核心 控制 设备 ， 能 够 有 效 
地 监控 内 部 网 和 互联 网 之 间 的 任何 活动 ， 防 止 发 生 不 可 预测 的 、 潜 在 破坏 性 的 侵入 ， 从 而 
保证 内 部 网 络 的 安全 。 

防火 墙 示意 图 如 图 6-1 所 示 。 
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图 6-1 网 络 防 火 墙 


防火 墙 作为 网 络 安全 的 第 一 道 防线 ， 概 括 地 说 ， 一 般 具 有 以 下 5 项 基本 功能 。 
(1) 过 滤 进 出 网 络 的 数据 。 

(2) 管理 进出 网 络 的 访问 行为 。 

(3) 封 堵 某 些 禁 止 的 业务 。 

(4) 记录 通过 防火 墙 的 信息 内 容 和 活动 。 

(5) 对 网 络 攻 击 进行 检测 和 报警 。 


6.1.2 防火 墙 的 发 展 简 史 


第 一 代 防 火 墙 : 1983 年 ， 第 一 代 防 火 墙 几乎 与 路 由 器 同时 出 现 , 采用 了 包 过 滤 (Packet 
Filter) 技术 。 

第 二 代 防 火 墙 : 1989 年 ， 贝 尔 实验 室 的 Dave.Presotto 和 Howard.Trickey 推出 了 第 二 代 
防火 墙 ， 即 电路 级 防火 墙 ， 同 时 提出 了 应 用 层 防火 墙 〈 代 理 防 火 墙 ) 的 初步 结构 。 

第 三 代 防 火 墙 : 1992 年 ，USC 信息 科学 院 的 Bob.Braden 开发 出 了 基于 动态 包 过 滤 
(Dynamic Packet Filter, DPF ) 技 术 的 第 三 代 防 火 墙 , 后 来 演变 为 目前 所 说 的 状态 监视 (State 
Fulinspection，SF) 技术 。1994 年 ， 以 色 列 的 Check.Point 公司 开发 出 了 第 一 个 基于 这 种 技 
术 的 商业 化 产品 。 

第 四 代 防 火 墙 :防火 墙 技术 和 产品 随 着 网 络 攻击 和 安全 防护 手段 的 发 展 而 演进 ,到 1997 
年 初 ， 具 有 安全 操作 系统 的 防火 墙 产品 面世 ， 使 防火 墙 技术 步 入 了 第 四 代 。 具 有 安全 操作 
系统 的 防火 墙 本 身 就 是 一 个 操作 系统 ， 因 而 在 安全 性 上 较 之 以 前 的 防火 墙 有 了 质 的 提高 。 
第 五 代 防 火 墙 ， 1998 年 ，NAI 公司 推出 了 一 种 自 适应 代理 (Adaptive Proxy，AP) 技 
术 , 并 在 其 产品 Gauntlet Firewall for NT 中 得 以 实现 , 给 代理 类 型 的 防火 墙 赋予 了 全 新 的 意 
义 ， 可 以 称 之 为 第 五 代 防火 墙 。 


6.1.3 设置 防火 墙 的 目的 和 功能 


在 没有 防火 墙 时 , 局 域 网 内 部 的 每 个 节点 都 暴露 给 Internet 上 的 其 他 主机 , 此 时 内 部 网 
的 安全 性 要 由 每 个 节点 的 坚固 程度 来 决定 ， 且 安全 性 等 同 于 其 中 最 薄弱 的 节点 。 使 用 防火 
墙 后 ， 防 火 墙 会 将 内 部 网 的 安全 性 统一 到 它 自身 ， 网 络 安全 性 在 防火 墙 系统 上 得 到 加 固 ， 
而 不 是 分 布 在 内 部 网 的 所 有 节点 上 。 防火 墙 把 内 部 网 与 Internet 隔离 ， 仅 让 安全 、 核 准 了 的 


古 : 计算 机 网 络 安全 技术 与 应 用 


信息 进入 ， 而 阻止 对 内 部 网 构成 威胁 的 数据 ， 这 样 即 可 防止 黑客 更 改 、 复 制 、 毁 坏 重 要 信 
息 ， 同 时 又 不 会 妨碍 人 们 对 Internet 的 访问 。 

具体 地 说 ， 通 常 应 用 防火 墙 的 目的 有 以 下 几 个 方面 : 限制 他 人 进入 内 部 网 络 ， 过滤 掉 
监视 局 域 网 安全 提供 方便 。 

防火 墙 的 主要 功能 就 是 控制 对 受 保护 网 络 的 非法 访问 ， 它 通过 监视 、 限 制 、 更 改 通过 
络 的 数据 流 ， 一 方面 尽 可 能 屏蔽 内 部 网 的 拓扑 结构 ， 另 一 方面 对 内 屏蔽 外 部 危险 站 点 ， 
以 防范 外 对 内 、 内 对 外 的 非法 访问 。 

防火 墙 的 工作 原理 如 图 6-2 所 示 。 


司 
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根据 安全 策略 ， 从 Intranet 到 Internet 的 
流量 以 及 响应 的 返回 流量 允许 通过 防火 墙 


根据 安全 策略 ， 从 Internet 玉 的 特殊 
类 型 的 流量 可 能 被 允许 到 达 Intranet 


图 6-2 防火 墙 的 工作 原理 

防火 墙 的 功能 主要 表现 在 以 下 4 个 方面 : 

(1) 防火 墙 是 网 络 安全 的 屏障 

防火 墙 作为 一 个 阻塞 点 、 控 制 点 ， 能 极 大 地 提高 内 部 网 络 的 安全 性 ， 并 通过 过 滤 不 安 
全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 数据 包 才能 通过 防火 墙 ， 所 以 使 
内 部 网 络 环境 变 得 更 安全 。 例 如 ， 防 火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 NFS 协议 数据 
包 进 出 受 保护 的 网 络 ， 这 样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 
同时 防火 墙 可 以 保护 网 络 免 受 基于 路 由 的 攻击 , 例如 下 选项 中 的 源 路 由 攻击 和 ICMP 重 定 
向 中 的 重 定向 路 由 攻击 。 防 火 墙 应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 ， 并 通知 防火 墙 管 
理 员 。 

(2) 防火 墙 可 以 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ， 可 将 所 有 安全 技术 ， 例 如 口令 、 加 密 、 身 份 认 
证 、 审 计 等 配置 在 防火 墙 上 。 

与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ， 选 择 防火 墙 的 集中 安全 管理 更 经 济 。 

(3) 对 网 络 存 取 和 访问 进行 监控 审计 

如 果 所 有 的 访问 都 经 过 防火 墙 ， 那 么 防火 墙 就 能 记录 下 这 些 访问 并 作出 日 志 记 录 ， 同 
时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ， 防 火 墙 能 进行 适当 的 报警 ， 并 
提供 网 络 是 否 受到 监测 和 攻击 的 详细 信息 。 
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男 外， 收集 一 个 网 络 的 使 用 和 误 用 情况 也 是 非常 重要 的 : 它 可 以 使 防火 墙 管理 员 清楚 
地 了 解 到 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 、 防 火 墙 的 控制 是 否 充足 等 ， 网 络 的 使 
统计 对 网 络 需 求 分 析 和 威胁 分 析 等 而 言 ， 也 是 非常 重要 的 。 

(4) 防止 内 部 信息 的 外 泄 

利用 防火 墙 对 内 部 网 络 的 划分 ， 可 实现 内 部 网 重点 网 段 的 隔离 ， 从 而 限制 了 局 部 重点 
或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 

隐私 是 内 部 网 络 非常 关心 的 问题 ， 一 个 内 部 网 络 中 不 引 人 注 意 的 细节 可 能 包含 了 有 关 
安全 的 线索 而 引起 外 部 攻击 者 的 兴趣 ， 甚 至 因此 而 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 
防火 墙 就 可 以 隐蔽 那些 可 能 被 透漏 的 内 部 细节 ， 例 如 Finger、DNS 等 服务 。Finger 显示 了 
主机 上 所 有 用 户 的 注册 名 、 真 名 、 最 后 登录 的 时 间 和 使 用 的 Shell 类 型 等 ， 这 些 信息 非常 容 
易 被 攻击 者 获悉 。 攻 击 者 可 以 利用 这 些 信息 知道 一 个 系统 使 用 的 频繁 程度 ， 这 个 系统 是 否 
有 用 户 正在 连 线 上 网 ， 这 个 系统 是 否 在 被 攻击 时 引起 注意 等 。 防 火 墙 可 以 同样 阻塞 有 关内 
部 网 络 中 的 DNS 信息 ， 这 样 内 部 主机 的 域名 和 了 P 地 址 就 不 会 被 外 界 所 了 解 。 

除了 安全 作用 ， 防 火 墙 还 支持 具有 Internet 服务 特性 的 企业 内 部 网 络 技术 体系 VPN。 
通过 VPN， 企 事业 单位 在 地 域 上 分 布 在 全 世界 各 地 的 LAN 或 专用 子 网 即 可 有 机 地 联 成 一 
个 整体 ， 不 仅 省 去 了 专用 通信 线路 ， 而 且 为 信息 共享 提供 了 技术 保障 。 

总 之 ， 防 火 墙 允许 网 络 管理 员 定义 一 个 核心 点 来 防止 非法 用 户 进 入 内 部 网 络 ， 可 以 很 
方便 地 监视 网 络 的 安全 性 ， 并 报警 ， 可 以 作为 部 署 网 络 地 址 变换 (Network Address 
Translation，NAT) 的 地 点 ， 利 用 NAT 技术 ， 将 有 限 的 人 P 地 址 动态 或 静态 地 与 内 部 的 人 P 
地 址 对 应 起 来 , 用 来 缓解 地 址 空间 短缺 的 问题 ; 防火 墙 还 是 审计 和 记录 Internet 使 用 费用 的 
一 个 最 佳 地 点 , 网 络 管理 员 可 以 在 此 向 管理 部 门 提供 Internet 连接 的 费用 情况 , 查 出 潜在 的 
带宽 瓶颈 位 置 ， 并 可 依据 本 机 构 的 核算 模式 提供 部 门 级 的 计 费 ， 防火 墙 可 以 连接 到 一 个 单 
独 的 网 段 上 从 技术 角度 来 讲 ， 这 就 是 所 谓 的 停火 区 一 一 DMZ)， 从 物理 上 和 内 部 网 段 隔 
开 ， 并 在 此 部 署 WWW 服务 器 和 FTP 服务 器 ， 将 其 作为 向 外 部 发 布 内 部 信息 的 地 点 。 


6.1.4 防火 墙 的 局 限 性 


防火 墙 技术 是 内 部 网 络 最 重要 的 安全 技术 之 一 ， 得 到 了 高 度 关 注 和 广泛 应 用 。 不 过 ， 
也 由 此 产生 了 一 个 误解 ， 即 防火 墙 是 万 能 的 。 目 前 防火 墙 产 品 集成 的 功能 越 来 越 多 ， 人 们 
对 它 的 期 望 也 很 高 ， 甚 至 有 人 认为 有 了 防火 墙 就 有 了 安全 保障 。 事 实 上 ， 安 装 防火 墙 并 不 
能 做 到 绝对 的 安全 ， 尚 有 许多 防范 不 到 的 地 方 。 具 体 如 下 : 

(1) 防火 墙 不 能 防范 不 经 由 防火 墙 的 攻击 

防火 墙 可 以 有 效 地 检查 经 由 它 进行 传输 的 信息 ， 但 不 能 防止 绕 过 它 进行 传输 的 信息 。 
例如 ， 如 果 允 许 从 受 保护 网 络 的 内 部 不 受 限制 地 向 外 拨号 ， 一 些 用 户 便 可 形成 与 Internet 
的 直接 连接 ， 从 而 绕 过 防火 墙 ， 造 成 一 个 潜在 的 攻击 渠道 。 

(2) 防火 墙 不 能 防止 感染 了 病毒 的 软件 或 文件 的 传输 

如 今 恶意 程序 发 展 迅速 ， 病 毒 可 依附 于 共享 文档 进行 传播 ， 也 可 通过 E-mail 附件 的 形 
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式 在 Internet 上 迅速 蔓延 。Web 本 身 就 是 一 个 病毒 源 ， 许 多 站 点 都 可 以 下 载 病毒 程序 甚至 
源码 。 另 外 ， 病 毒 的 类 型 、 隐 藏 和 传输 方式 太 多 ， 操 作 系统 也 有 多 种 ， 不 能 期 望 防火 墙 去 
对 每 一 个 进出 内 部 网 络 的 文件 进行 扫描 ， 查 出 潜在 的 病毒 ; 否则 ， 防 火 墙 将 成 为 网 络 中 最 
大 的 瓶颈 。 

(3) 防火 墙 不 能 防止 数据 驱动 型 攻击 

有 些 表面 看 起 来 无 害 的 数据 通过 电子 邮件 发 送 或 者 其 他 方式 复制 到 内 部 主机 上 ， 一 旦 
被 执行 就 形成 攻击 。 一 个 数据 驱动 型 攻击 ， 可 能 导致 主机 修改 与 安全 相关 的 文件 ， 使 得 入 
侵 者 很 容易 获得 对 系统 的 访问 权 。 

(4) 防火 墙 不 能 防范 恶意 的 内 部 人 员 入 侵 

一 般 来 说 ， 防 火 墙 的 安全 控制 只 能 作用 于 外 对 内 或 内 对 外 ， 即 对 外 可 屏蔽 内 部 网 的 拓 
扑 结构 ， 封 锁 外 部 网 上 的 用 户 连 接 到 内 部 网 上 的 重要 站 点 或 某 些 端口 : 对 内 可 屏蔽 外 部 危 
伶 站 点 ， 但 它 并 不 能 控制 内 部 用 户 对 内 部 网 络 的 越权 访问 。 内 部 人 员 通 晓 内 部 网 络 的 结构 ， 
如 果 他 从 内 部 入 侵 内 部 主机 ， 或 进行 一 些 破坏 活动 ， 例 如 窃取 数据 、 破 坏 硬 件 和 软件 ， 因 
为 该 通信 没有 通过 防火 墙 ， 防 火 墙 也 就 无 法 阻止 。 

所 以 说 ， 内 部 用 户 攻击 网 络 正 是 网 络 安全 最 大 的 威胁 。 据 权威 部 门 统计 表明 ， 网 络 上 
的 安全 攻击 事件 有 70% 以 上 来 自 内 部 。 也 就 是 说 ， 防 火 墙 基本 上 是 防 外 不 防 内 。 

(5) 防火 墙 不 能 防范 不 断 更 新 的 攻击 方式 

由 于 防火 墙 的 安全 策略 是 在 已 知 的 攻击 模式 下 制定 的 ， 只 能 防御 已 知 的 威胁 ， 对 于 全 
新 的 攻击 方式 缺少 阻止 功能 。 

(6) 防火 墙 难 于 管理 和 配置 ， 易 造成 安全 漏洞 

防火 墙 的 管理 及 配置 相当 复杂 ， 要 想 成 功 地 维护 防火 墙 ， 防 火 墙 管理 员 对 网 络 安全 攻 
击 的 手段 及 其 与 系统 配置 的 关系 必须 有 着 相当 深刻 的 了 解 。 

防火 墙 的 安全 策略 无 法 进行 集中 管理 ， 一 般 来 说 ， 由 多 个 系统 路由器、 过滤 器、 代 
理 服 务 器 、 网 关 、 保 侄 主 机 )〉 组 成 的 防火 墙 ， 管 理 上 有 所 疏 忽 是 在 所 难免 的 。 

(7) 很 难为 用 户 在 防火 墙 内 外 提供 一 致 的 安全 策略 

许多 防火 墙 对 用 户 的 安全 控制 主要 是 基于 用 户 所 用 机 器 的 瑟 地址 而 不 是 用 户 身 份 , 这 
样 就 很 难为 同一 用 户 在 防火 墙 内 外 提供 一 致 的 安全 控制 策略 ， 限 制 了 网 络 的 物理 范围 。 

总 之 ， 一 方面 ， 防 火 墙 在 当今 Internet 世界 中 的 存在 是 有 生命 力 的 ; 另 一 方面 ， 防 火 墙 
不 能 替代 内 部 谨慎 的 安全 措施 。 因 此 ， 它 不 是 解决 所 有 网 络 安全 问题 的 万 能 药方 ， 而 只 是 
网 络 安全 策略 中 的 一 个 组 成 部 分 。 


6.1.5 防火 墙 技术 的 发 展 动态 和 趋 蕉 


考虑 到 Internet 发 展 的 迅猛 势头 和 防火 墙 产品 的 更 新 步伐 , 要 全 面 展望 防火 墙 技术 的 发 
展 儿 乎 是 不 可 能 的 。 但 是 ， 从 产品 及 功能 上 ， 却 又 可 以 看 出 一 些 动态 和 趋势 。 
防火 墙 产品 正 向 以 下 趋势 发 展 : 
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1. 优良 的 性 能 

新 一 代 防 火 墙 系统 不 仅 应 该 能 更 好 地 保护 防火 墙 后 面 内 部 网 络 的 安全 ， 而 且 应 该 具有 
更 为 优良 的 整体 性 能 。 

传统 的 代理 型 防火 墙 虽然 可 以 提供 较 高 级 别 的 安全 保护 ， 但 是 同时 它 也 成 为 限制 网 络 
带宽 的 瓶颈 ， 这 极 大 地 制约 了 它 在 网 络 中 的 实际 应 用 。 

现在 大 多 数 的 防火 墙 产 品 都 支持 NAT 功能 ， 它 可 以 让 受 防 火 墙 保护 的 内 部 网 络 的 人 P 
地 址 不 至 于 暴露 给 外 部 网 络 ; 但 启用 NAT 后 ， 势 必 会 对 防火 墙 的 系统 性 能 有 所 影响 ， 如 何 
尽量 减少 这 种 影响 也 成 为 目前 防火 墙 产品 的 卖点 之 一 。 

另外 ,防火墙 系 统 中 集成 的 VPN 解决 方案 必须 是 真正 的 线 速 运行 ， 否则 将 成 为 网 络 通 
信和 的 瓶颈 。 特 别 是 采用 复杂 的 加 密 算 法 时 ， 防 火 墙 性 能 尤为 重要 。 总 之 ， 未 来 的 防火 墙 系 
统 将 会 把 高 速 的 性 能 和 最 大 限度 的 安全 性 有 机 结合 在 一 起 ， 有 效 地 消除 制约 传统 防火 墙 的 
性 能 瓶颈 。 

2. 可 扩展 的 结构 和 功能 

选择 哪 种 防火 墙 ， 除 了 应 考虑 其 基本 性 能 外 ， 毫 无 疑问 ， 还 应 考虑 用 户 的 实际 需求 与 
未 来 网 络 的 升级 。 因 此 ， 防 火 墙 除了 具有 保护 网 络 安全 的 基本 功能 外 ， 还 应 提供 对 VPN 的 
支持 ， 同 时 还 应 该 具有 可 扩展 的 内 驻 应 用 层 代 理 。 除 了 支持 常见 的 网 络 服务 以 外 ， 还 应 该 
人 够 按照 用 户 的 需求 提供 相应 的 代理 服务 .例如 ,如 果 用 户 需要 X-Window、HTTP 和 Gopher 
等 服务 ， 防 火 墙 就 应 该 包含 相应 的 代理 服务 程序 。 

未 来 的 防火 墙 系统 应 是 一 个 可 随意 伸缩 的 模块 化 解决 方案 ， 从 最 基本 的 包 过 滤 到 带 加 
密 功 能 的 VPN 型 包 过 滤 ， 直 至 一 个 独立 的 应 用 网 关 , 使 用 户 有 充分 的 余地 构建 自己 所 需要 
的 防火 墙 体系 。 

3. 简化 的 安装 与 管理 

防火 墙 产 品 配 置 和 管理 的 难 易 程度 ， 是 防火 墙 能 否 达 到 目的 的 主要 考虑 因素 之 一 。 若 
防火 墙 的 配置 和 管理 过 于 困难 ， 则 可 能 会 造成 设 定 上 的 错误 ， 反 而 不 能 达到 其 功能 。 

未 来 的 防火 墙 将 具有 非常 易于 进行 配置 的 图 形 用 户 界面 , NT 防火 墙 市 场 的 发 展 充分 证 
明了 这 种 趋势 。 

4. 主动 过 滤 

许多 防火 墙 都 包括 对 过 滤 产 品 的 支持 ， 并 可 以 与 第 三 方 过 滤 服 务 连接 ， 这 些 服务 提供 
了 不 受 欢迎 的 Internet 站 点 的 分 类 清单 。 

防火 墙 还 在 它们 的 Web 代理 中 包括 了 时 间 限 制 功能 ， 人 允许 非 工 作 时 间 的 冲浪 和 登录 ， 
并 提供 冲浪 活动 的 报告 。 

5. 防 病毒 与 防 黑客 

许多 防火 墙 具 有 内 置 防 病毒 与 防 黑客 的 功能 。 

防火 墙 技术 下 一 步 的 走向 和 选择 ， 也 可 能 会 包含 以 下 几 个 方面 。 
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(1) 防火 墙 将 从 目前 对 子 网 或 内 部 网 络 管理 的 方式 向 远程 上 网 集中 管理 的 方式 发 展 。 

(2) 过 滤 深 度 不 断 加 强 ， 从 目前 的 地 址 、 服 务 过 滤 ， 发 展 到 URL (页 面 ) 过 滤 、 关 
键 字 过 滤 和 对 ActiveX、Java 小 应 用 程序 等 的 过 滤 ， 并 逐渐 有 病毒 清除 功能 。 

(3) 利用 防火 墙 建立 专用 网 VPN 是 较 长 一 段 时 间 的 主流 ， 卫 的 加 密 需求 越 来 越 强 
安全 协议 的 开发 是 一 大 热点 。 

(4) 对 网 络 攻击 的 检测 和 报警 将 成 为 防火 墙 的 重要 功能 。 

(5) 安全 管理 工具 不 断 完善 ,特别 是 可 疑 活动 的 日 志 分 析 工 具 等 将 成 为 防火 墙 产品 中 
的 一 部 分 。 
综 上 记述 ， 未 来 防火 墙 技术 会 全 面 考虑 网 络 的 安全 、 操 作 系统 的 安全 、 应 用 程序 的 安 
全 、 用 户 的 安全 、 数 据 的 安全 等 5 个 方面 。 此外， 防火墙 产品 还 将 把 网 络 前 沿 技术 ,如 Web 
页 面 超 高 速 缓 在、 虚拟 网 络 和 带宽 管理 等 与 其 自身 结合 起 来 。 
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6.2.1 防火 墙 的 分 类 


防火 墙 有 多 种 不 同 的 分 类 方法 : 根据 采用 的 技术 不 同 ， 可 分 为 包 过 滤 防 火 墙 和 代理 服 
务 器 防火 墙 ， 按 照应 用 对 象 的 不 同 ， 可 分 为 企业 级 防火 墙 与 个 人 防火 墙 ， 依 据 实 现 的 方法 
不 同 ， 又 可 分 为 软件 防火 墙 、 硬 件 防火 墙 和 专用 防火 墙 。 

1， 基 于 实现 方法 分 类 

软件 防火 墙 运行 于 作为 网 关 的 特定 计算 机 上 ， 需 要 先 在 计算 机 上 安装 并 做 好 配置 才 可 
以 使 用 。 使 用 这 类 防火 墙 ， 需 要 网 络 管理 人 员 对 所 工作 的 操作 系统 平台 比较 熟悉 。 

硬件 防火 墙 是 在 定制 的 PC 硬件 上 ， 运 行经 过 最 小 化 安全 处 理 后 的 通用 操作 系统 及 集 
成 的 防火 墙 软件 。 其 特点 是 开发 成 本 低 、 性 能 实用 、 稳 定性 和 扩展 性 较 好 ， 价 格 也 低廉 。 
由 于 此 类 防火 墙 依赖 操作 系统 内 核 ， 因 此 会 受到 操作 系统 本 身 的 安全 性 影响 ， 处 理 速度 也 
比较 慢 。 

专用 防火 墙 采用 特别 优化 设计 的 硬件 体系 结构 ， 使 用 专用 的 操作 系统 。 此 类 防火 墙 在 
稳定 性 和 传输 性 能 方面 有 着 得 天 独 厚 的 优势 ， 速 度 快 ， 处 理 能 力 强 ， 性 能 高 ， 并 且 系 列 化 
程度 高 ， 由 于 使 用 专用 操作 系统 ， 容 易 配置 和 管理 ， 本 身 漏洞 也 比较 少 :但 是 扩展 能 力 有 
限 ， 价 格 也 比较 高 。 

2. 基于 防火 墙 技术 原理 分 类 

互联 网 采用 TCP/P 协议 , 在 不 同 的 网 络 层次 上 设置 不 同 的 屏障 ,构成 不 同类 型 的 防火 
墙 。 因此， 从 工作 原理 角度 看 ， 防 火 墙 技术 主要 可 分 为 网 络 层 防火 墙 技术 和 应 用 层 防 火 墙 
技术 。 这 两 个 层次 的 防火 墙 技术 的 具体 实现 有 包 过 滤 防 火 墙 、 代 理 服务 器 防火 墙 、 状 态 检 
测 防火 墙 和 自 适 应 代理 防火 墙 等 。 
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3. 基于 防火 墙 硬件 环境 分 类 

根据 实现 防火 墙 的 硬件 环境 不 同 ， 可 将 防火 墙 分 为 基于 路 由 器 的 防火 墙 和 基于 主机 系 
统 的 防火 墙 。 包 过 滤 防 火 墙 和 状态 检测 防火 墙 可 以 基于 路 由 器 ， 也 可 基于 主机 系统 实现 ; 
而 代理 服务 器 防火 墙 只 能 基于 主机 系统 实现 。 

4. 基于 防火 墙 的 功能 分 类 

根据 防火 墙 的 功能 不 同 ， 可 将 防火 墙 分 为 FTP 防火墙 、Telnet 防火 墙 、 E-mail 防火 墙 、 
病毒 防火 墙 、 个 人 防火 墙 等 各 种 专用 防火 墙 。 通 常 也 将 几 种 防火 墙 技术 组 合 在 一 起 使 用 ， 
以 弥补 各 自 的 缺陷 ， 增 加 系统 的 安全 性 能 。 


6.2.2 包 过 渡 技 术 


1. 基本 原理 

包 过 滤 (Packet Filtering，PF) 是 防火 墙 为 系统 提供 安全 保障 的 主要 技术 ,可 在 网 络 层 
对 进出 网 络 的 数据 包 进 行 有 选择 的 控制 与 操作 。 包 过 滤 操 作 一 般 都 是 在 选择 路 由 的 同时 ， 
在 网 络 层 对 数据 包 进 行 选 择 或 过 滤 。 

选择 的 依据 是 系统 内 设置 的 过 滤 逻 辑 ， 即 访问 控制 表 (Access Control Table，ACT)。 
由 它 指 定 允 许 哪些 类 型 的 数据 包 可 以 流入 或 流出 内 部 网 络 。 例 如 ， 如 果 防 火 墙 中 设 定 某 一 
卫 地 址 的 站 点 为 不 适宜 访问 的 站 点 ， 则 从 该 站 点 地 址 来 的 所 有 信息 都 会 被 防火 墙 过 滤 掉 。 
一 般 过 滤 规 则 是 以 IP 数据 包 信息 为 基础 ， 对 人 P 数据 包 的 源 地 址 、 目 的 地 址 、 传 输 方 向 、 
分 包 、 卫 数据 包 封 装 协议 (例如 ，TCP/UDP/ICMP)、TCP/UDP 目标 端口 号 等 进行 筛选 、 

包 过 滤 技 术 是 一 种 网 络 安全 保护 机 制 ， 可 以 用 来 控制 流出 和 流入 网 络 的 数据 。 它 有 选 
择 地 让 数据 包 在 内 部 网 络 与 外 部 网 络 之 间 进 行 交 换 ， 即 根据 内 部 网 络 的 安全 规则 允许 某 些 
数据 包 通 过 ， 同 时 又 阻止 某 些 数据 包 通 过 。 


它 通过 检查 数据 流 中 每 个 数据 包 的 源 地 址 、 一 一 一 一 一 
目的 地 址 、 所 用 的 端口 号 协议 状态 等 因素 ， 广 一 si | 


或 它们 的 组 合 ， 决 定 该 他 数据 包 是 否 要 进 传输 层 


行 拦截 还 是 给 予 放 行 。 这 样 可 以 有 效 地 防止 户 一 一 一 
_- 链 路 层 
恶意 用 户 利用 不 安全 的 服务 对 内 部 网 进行 EE 
坊 二 。 | 物理 层 | 
包 过 滤 防 火 墙 的 工作 原理 如 图 6-3 所 示 。 图 6-3” 包 过 滤 防 火 墙 工作 原理 


包 过 滤 防 火 墙 要 遵循 的 一 条 基本 原则 

就 是 “最 小 特权 原则 ”， 即 明确 允许 管理 员 希 望 通 过 的 那些 数据 包 ， 禁 止 其 他 的 数据 包 。 
2. 包 过 滤 技 术 的 优点 
包 过 滤 防 火 墙 逻辑 简单 ， 价 格 低廉 ， 易 于 安装 和 使 用 ， 网 络 性 能 和 透明 性 好 。 它 通常 
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安装 在 路 由 器 上 , 而 路 由 器 是 内 部 网 络 与 Internet 连接 必 不 可 少 的 设备 , 因此 在 原 有 网 络 上 
增加 这 样 的 防火 墙 几 乎 不 需要 任何 额外 的 费用 。 

包 过 滤 防 火 墙 的 优点 主要 体现 在 下 面 儿 个 方面 : 

(1) 不 用 改动 应 用 程序 

包 过 滤 防 火 墙 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ， 因 为 它 工作 在 网 络 层 和 传输 层 ， 
与 应 用 层 无 关 。 

(2) 一 个 过 滤 路 由 器 能 协助 保护 整个 网 络 

包 过 滤 防 火 墙 的 主要 优点 之 一 ， 是 一 个 单个 的 、 恰 当 放 置 的 包 过 滤 路 由 器 有 助 于 保护 
整个 网 络 。 如 果 仅 有 一 个 路 由 器 连接 内 部 与 外 部 网 络 ， 则 不 论 内 部 网 络 的 大 小 、 内 部 拓扑 
结构 如 何 ， 通 过 那个 路 由 器 进行 数据 包 过 滤 ， 在 网 络 安全 保护 上 就 能 取得 较 好 的 效果 。 

(3) 数据 包 过 滤 对 用 户 透明 

数据 包 过 滤 是 在 人 P 层 实 现 的 ，Internet 用 户 根本 感觉 不 到 它 的 存在 ， 包 过 滤 不 要 求 任 
何 自 定义 软件 或 者 客户 机 配置 ， 它 也 不 要 求 用 户 经 过 任何 特殊 的 训练 或 者 操作 ， 使 用 起 来 
很 方便 。 

较 强 的 “透明 度 ” 是 包 过 滤 的 一 大 优势 。 

(4) 过 滤 路 由 器 速度 快 、 效 率 高 

过 滤 路 由 器 只 检查 报头 相应 的 字段 ， 一 般 不 查看 数据 包 的 内 容 ， 而 且 某 些 核心 部 分 是 
由 专用 硬件 实现 的 ， 故 其 转发 速度 快 、 效 率 较 高 。 

总 之 ， 包 过 滤 技 术 是 一 种 通用 、 廉 价 、 有 效 的 安全 手段 。 通 用 ， 是 因为 它 不 针对 各 个 
具体 的 网 络 服务 采取 特殊 的 处 理 方式 ， 而 是 对 各 种 网 络 服务 都 通用 ; 廉价 ， 是 因为 大 多 数 
路 由 器 都 提供 分 组 过 滤 功 能 ， 不 用 再 增加 更 多 的 硬件 和 软件 ， 有 效 ， 是 因为 它 能 在 很 大 程 
度 上 满足 企业 的 安全 要 求 。 

3. 包 过 滤 的 缺点 

(1) 安全 性 较 差 

过 滤 判 别 的 只 有 网 络 层 和 传输 层 的 有 限 信息 , 因而 各 种 安全 要 求 不 可 能 得 到 充分 满足 ; 
在 许多 过 滤器 中 ， 过 滤 规 则 的 数目 是 有 限制 的 ， 且 随 着 规则 数目 的 增加 ， 人 性 能 会 受到 很 大 
的 影响 ， 由 于 缺少 上 下 文 关联 信息 ， 不 能 有 效 地 过 滤 诸 如 UDP、RPC 一 类 的 协议 ; 非法 访 
问 一 旦 突破 防火 墙 ， 即 可 对 主机 上 的 软件 和 配置 漏洞 进行 攻击 ; 大 多 数 过 滤 路 由 器 中 缺少 
审计 和 报警 机 制 ， 通 常 没 有 用 户 的 使 用 记录 ， 这 样 管理 员 就 不 能 从 访问 记录 中 发 现 黑客 的 
攻击 记录 ， 而 攻击 一 个 单纯 的 包 过 滤 式 的 防火 墙 对 黑客 来 说 是 比较 容易 的 ， 因 为 他 们 在 这 
一 方面 已 经 积累 了 大 量 的 经 验 。 

(2) 一 些 应 用 协议 不 适用 

对 于 一 些 应 用 协议 ， 如 RPC、X-Window 和 FTP 等 不 适用 。 

(3) 正常 的 数据 包 过 滤 路 由 器 无 法 执行 某 些 安全 策略 

数据 包 过 滤 路 由 器 上 的 信息 不 能 完全 满足 用 户 对 安全 策略 的 需求 。 例 如 ， 数 据 包 的 报 
头 信息 只 能 说 明 数 据 包 来 自 什 么 主机 ， 而 不 是 什么 用 户 ; 数据 包 到 什么 端口 ， 而 不 是 到 什 
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么 应 用 程序 。 这 就 存在 着 很 大 的 安全 隐患 和 管理 控制 漏洞 。 

(4) 不 能 彻底 防止 地 址 欺骗 

大 多 数 包 过 滤 路 由 器 都 是 基于 源 卫 地 址 、 目 的 卫 地 址 而 进行 过 滤 的 ， 而 数据 包 的 源 
地 址 、 目 的 地 址 以 及 人 P 的 端口 号 都 在 数据 包 的 头 部 ,很 有 可 能 被 穷 听 或 假冒 (IP 地 址 的 伪 
造 是 很 容易 、 很 普遍 的 )。 如 果 攻 击 者 把 自己 主机 的 卫 地 址 设 成 一 个 合法 主机 的 卫 地址 
就 可 以 很 轻易 地 通过 报 文 过 滤器 。 所 以 ， 包 过 滤 防 火 墙 最 主要 的 弱点 是 不 能 在 用 户 级 别 上 
进行 过 滤 ， 即 不 能 识别 不 同 的 用 户 和 防止 地址 的 盗用 。 

过 滤 路 由 器 在 这 点 上 大 都 无 能 为 力 。 即 使 按 MAC 地 址 进行 绑 定 ， 也 是 不 可 信 的 。 对 
于 一 些 安全 性 要 求 较 高 的 网 络 ， 过 滤 路 由 器 是 不 能 胜任 的 。 

(5) 数据 包工 具 存 在 很 多 局 限 性 

例如 ， 数 据 包 过 滤 规 则 难以 配置 ， 管 理 方式 和 用 户 界面 较 差 ， 对 安全 管理 人 员 素质 要 
求 比较 高 ， 建 立 安全 规则 时 ， 必 须 对 协议 本 身 及 其 在 不 同 应 用 程序 中 的 作用 有 较 深 入 的 
理解 。 

从 以 上 分 析 可 以 看 出 ， 包 过 滤 防 火 墙 技 术 虽 然 能 起 到 一 定 的 安全 保护 作用 ， 且 也 有 许 
多 优点 ， 但 它 毕 竞 是 第 一 代 防 火 墙 技术 ， 本 身 存 在 较 多 缺陷 ， 不 能 提供 较 高 的 安全 性 。 因 
此 ， 在 实际 应 用 中 ， 很 少 把 包 过 滤 技 术 当 作 单 独 的 安全 解决 方案 ， 通 常 是 把 它 与 应 用 网 关 
配合 使 用 或 与 其 他 防火 墙 技 术 揉 合 在 一 起 使 用 ， 共 同 组 成 防火 墙 系 统 。 


6.2.3 代理 服务 技术 


随 着 包 过 滤 防 火 墙 缺点 的 不 断 显 现 ， 许 多 安全 专家 开始 寻找 更 好 的 防火 墙 安全 机 制 。 
他 们 相信 真正 可 靠 的 安全 防火 墙 应 该 禁止 所 有 通过 防火 墙 的 直接 连接 一 一 在 协议 栈 的 最 高 
层 检验 所 有 的 输入 数据 。 为 测试 这 一 理论 ，DARPA (Defense Advanced Research Projects 
Agency) 和 在 华盛顿 享有 较 高 声望 的 以 可 信 信 息 系统 著称 的 高 级 安全 研究 机 构 签订 了 合 
同 ， 着 手 开发 安全 的 “应 用 级 代理 ”防火 墙 。 这 一 研究 最 终 造就 了 Gauntlet (http://www tis 
.com/) 一 一 第 一 代 以 DARPA 和 美国 国防 部 的 最 高 标准 设计 的 商业 化 应 用 级 代理 防火 墙 的 
诞生 。 应 用 级 代理 防火 墙 模式 提供 了 十 分 先进 的 安全 控制 机 制 ， 它 通过 在 协议 栈 的 最 高 层 
〈 应 用 层 ) 检查 每 一 个 包 来 提供 足够 的 应 用 级 连接 信息 。 因 为 在 应 用 层 中 具有 足够 的 能 见 
度 ， 应 用 级 代理 防火 墙 很 容易 就 能 看 见 前 面 提 及 的 每 一 个 连接 的 细节 ， 从 而 实现 各 种 安全 
策略 。 例 如 ， 这 种 防火 墙 很 容易 识别 重要 的 应 用 程序 命令 ， 像 FTP 的 上 传 请 求 put 和 下 载 
请 求 get。 

代理 防火 墙 工作 于 应 用 层 ， 且 针对 特定 的 应 用 层 协议 ， 通 过 代理 可 以 实现 比 包 过 滤 更 
严格 的 安全 策略 。 

代理 〈Proxy) 防火 墙 分 为 应 用 层 网 关 和 电路 级 网 关 两 类 。 


1. 基本 原理 


代理 服务 器 是 运行 在 防火 墙 主机 上 的 一 些 特定 的 应 用 程序 或 者 服务 程序 ， 它 们 代表 客 
户 在 服务 器 端 进行 连接 请 求 。 当 代理 服务 器 收 到 一 个 客户 的 连接 请 求 时 ， 它 将 核实 客户 请 
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求 ， 并 用 特定 的 安全 化 的 代理 应 用 程序 来 处 理 连接 请 求 ， 并 将 处 理 后 的 请 求 传递 到 真实 的 
服务 器 上 ， 然 后 接收 服务 器 应 答 ， 并 作 进 一 步 处 理 后 ， 将 答复 交 给 发 出 请 求 的 最 终 客户 。 
代理 服务 器 在 外 部 网 络 向 内 部 网 络 申请 服务 时 发 挥 了 中 间 转 接 和 隔离 内 、 外 部 网 络 的 作用 ， 
所 以 又 称 为 代理 防火 墙 。 

代理 防火 墙 的 应 用 层 代理 服务 的 数据 控制 及 传输 过 程 如 图 6-4 所 示 。 


图 6-4 代理 防火 墙 的 应 用 层 数据 控制 及 传输 过 程 


代理 防火 墙 最 突出 的 特点 是 ， 将 所 有 跨越 防火 墙 的 网 络 通信 链 路 分 为 两 段 。 防 火 墙 内 
外 计算 机 系统 间 应 用 层 的 “链接 ” 由 两 个 代理 服务 器 上 的 “链接 ”来 实现 ， 外 部 计算 机 的 
网 络 链 路 只 能 到 达 代 理 服务 器 ， 从 而 起 到 隔离 防火 墙 内 外 计算 机 系统 的 作用 。 此 外 ， 代 理 
防火 墙 在 发 现 被 攻击 的 迹象 时 ， 将 向 网 络 管理 员 发 出 警报 ， 并 保留 攻击 现场 。 也 就 是 说 ， 
在 代理 服务 中 ,内 部 各 站 点 之 间 的 连接 被 切断 了 ,代理 服务 在 幕后 操纵 着 各 站 点 间 的 连接 。 

2. 应 用 层 网 关 防 火 墙 

(1) 工作 原理 
应 用 层 网 关 (Application Level Gateways，ALG) 防火 墙 是 传统 代理 型 防火 墙 ， 在 网 络 
应 用 层 上 建立 协议 过 滤 和 转发 功能 。 它 针对 特定 的 网 络 应 用 服务 协议 使 用 指定 的 数据 过 滤 
逻辑 ， 并 在 过 滤 的 同时 对 数据 包 进 行 必要 的 分 析 、 登 记 和 统计 ， 形 成 报告 。 

应 用 层 网 关 防 火 墙 的 工作 原理 如 图 6-5 所 示 。 


图 6-5 应 用 网 关 防 火 墙 实 现 原理 


应 用 层 网 关 防 火 墙 的 核心 技术 就 是 代理 服务 器 技术 ， 它 是 基于 软件 的 ， 通 常安 装 在 专 
用 工作 站 系统 上 。 这 种 防火 墙 通过 代理 技术 参与 到 一 个 TCP 连接 的 全 过 程 ， 并 在 网 络 应 用 
层 上 建立 协议 过 滤 和 转发 功能 ， 所 以 叫做 应 用 层 网 关 。 当 某 用 户 〈 不 管 是 远程 的 还 是 本 地 
的 ) 想 和 一 个 运行 代理 的 网 络 建立 联系 时 ， 此 代理 (应 用 层 网 关 ) 会 阻塞 这 个 连接 ， 然 后 
在 过 滤 的 同时 对 数据 包 进行 必要 的 分 析 、 登 记 和 统计 ， 形 成 检查 报告 。 如 果 此 连接 请 求 符 
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合 预 定 的 安全 策略 或 规则 ， 代 理 防火 墙 便 会 在 用 户 和 服务 器 之 间 建 立 一 个 “ 桥 ”， 从 而 保证 
其 通信 。 对 不 符合 预定 安全 规则 的 ， 则 阻塞 或 抛弃 。 换 旬 话 说 ,“ 桥 ”上 设置 了 很 多 控制 。 

同时 ， 应 用 层 网 关 将 内 部 用 户 的 请 求 确认 后 送 到 外 部 服务 器 ， 再 将 外 部 服务 器 的 响应 
回 送 给 用 户 。 这 种 技术 对 ISP 很 常见 ， 通 常用 于 在 Web 服务 器 上 高 速 缓存 信息 ， 并 且 扮 演 
Web 客户 和 Web 服务 器 之 间 的 中 介 和 角色 。 它 主要 保存 Internet 上 那些 最 常用 和 最 近 访 问 过 
的 内 容 : 在 Web 上 , 代理 首先 试图 在 本 地 寻找 数据 ; 如 果 没有 ， 再 到 远程 服务 器 上 去 查找 。 
为 用 户 提供 了 更 快 的 访问 速度 ， 并 且 提 高 了 网 络 的 安全 性 。 

(2) 优点 

应 用 层 网 关 防 火 墙 最 突出 的 优点 就 是 安全 ， 这 种 类 型 的 防火 墙 被 网 络 安全 专家 和 媒体 
公认 为 是 最 安全 的 防火 墙 。 由 于 每 一 个 内 外 网 络 之 间 的 连接 都 要 通过 代理 的 介入 和 转换 ， 
通过 专门 为 特定 的 服务 (例如 HTTP) 编写 的 安全 化 的 应 用 程序 进行 处 理 ， 然 后 由 防火 墙 
本 身 提交 请 求 和 应 答 ， 没 有 给 内 外 网 络 的 计算 机 以 任何 直接 会 话 的 机 会 ， 从 而 避免 了 入 侵 
者 使 用 数据 驱动 类 型 的 攻击 方式 入 侵 内 部 网 络 。 从 内 部 发 出 的 数据 包 经 过 这 样 的 防火 墙 处 
理 后 ， 就 好 像 是 源 于 防火 墙 外 部 网 卡 一 样 ， 从 而 可 以 达到 隐藏 内 部 网 结构 的 作用 ;而 包 过 
滤 类 型 的 防火 墙 是 很 难 彻底 避免 这 一 漏洞 的 。 

应 用 层 网 关 防 火 墙 同时 也 是 内 部 网 与 外 部 网 的 隔离 点 ， 起 着 监视 和 隔绝 应 用 层 通信 流 
的 作用 ， 它 工作 在 OSI 模型 的 最 高 层 ， 掌 握 着 应 用 系统 中 可 用 作 安 全 决策 的 全 部 信息 。 

(3) 缺点 

代理 防火 墙 的 最 大 缺点 就 是 速度 相对 比较 慢 ， 当 用 户 对 内 外 网 络 网 关 的 吞吐 量 要 求 比 
较 高 时 ， 例 如 要 求 达到 75 一 100Mbps 时 ， 代 理 防 火 墙 就 会 成 为 内 外 网 络 之 间 的 瓶颈 。 所 幸 
的 是 ,目前 用 户 接 入 Internet 的 速度 一 般 都 远 低 于 这 个 数字 。 在 现实 环境 中 ， 也 要 考虑 使 用 
包 过 滤 类 型 防火 墙 来 满足 速度 要 求 的 情况 ， 大 部 分 是 高 速 网 CATM 或 千 兆 位 Intranet 等 ) 
之 间 的 防火 墙 。 

3. 电路 级 网 关 防 火 墙 


男 一 种 类 型 的 代理 技术 称 为 电路 级 网 关 ( Circuit Level Gateway, CLG ) 或 TCP 通道 CTCP 
Tunnels) 防火 墙 。 在 电路 级 网 关 防 火 墙 中 ， 数 据 包 被 提交 给 用 户 的 应 用 层 进行 处 理 ， 电 路 
级 网 关 用 来 在 两 个 通信 的 终点 之 间 转 换 数 据 包 ， 如 图 6-6 所 示 。 


Ema 


TCP Socket TCP Socket 


图 6-6 电路 级 网 关 防 火 墙 


多 计算 机 网 络 安全 技术 与 应 用 


电路 级 网 关 是 建立 应 用 层 网 关 的 一 种 更 加 灵活 的 方法 ， 是 针对 包 过 滤 和 应 用 层 网 关 技 
术 存 在 的 缺点 而 引入 的 防火 墙 技 术 。 Wee TCP 3 次 握手 建立 连接 的 过 程 中 ， 
检查 双方 的 SYN、ASK 和 序列 号 是 否 符 合 逻 辑 ， Ts 一 旦 网 关 
认为 会 话 是 合法 的 ， i 并 维护 一 张 合 法 会 话 连接 表 ， 当 会 话 信息 与 表 中 
的 条 目 匹 配 时 才 允 许 数据 通过 ， 会 话 结束 后 ， 表 中 的 条 目 就 被 天 除 。 

电路 级 网 关 防 火 墙 与 包 过 滤 防 火 墙 都 是 依靠 特定 的 逻辑 来 判断 是 否 人 允许 数据 包 通过 ， 
然而 包 过 滤 防 火 墙 允许 内 、 外 网 的 计算 机 直接 建立 连接 ， 电 路 级 网 关 防 火 墙 则 不 允许 TCP 
端 到 端的 连接 ， 而 是 要 建立 两 个 连接 。 其 中 一 个 连接 是 网 关 到 内 部 主机 ， 另 一 个 是 网 关 到 
外 部 主机 。 一 旦 两 个 连接 被 建立 ， 网 关 只 简单 地 进行 数据 中 转 ， 即 它 只 在 内 部 连接 和 外 部 
连接 之 间 来 回复 制 字 节 ， 并 将 源 IP 地 址 转换 为 自己 的 地 址 ， 使 得 外 界 认为 是 网 关 和 目的 地 
址 在 进行 连接 。 由 于 电路 级 网 关 在 会 话 建立 连接 后 不 对 所 传输 的 内 容 作 进一步 的 分 析 ， 因 
此 安全 性 稍 低 。 

电路 级 网 关 防 火 墙 的 工作 原理 如 图 6-7 所 示 。 


四 
二 


图 6-7 电路 级 网 关 防 火 墙 工作 原理 

4. 代理 服务 技术 的 优点 

(1) 代理 易于 配置 

代理 因为 是 一 个 软件 ， 所 以 它 较 过 滤 路 由 器 更 易 配置 ， 配置 界 面 十 分 友好 。 如 果 代 理 
实现 得 好 ， 可 以 对 配置 协议 要 求 较 低 ， 从 而 可 以 避免 一 些 配置 错误 。 

(2) 代理 能 生成 各 项 记录 
因 代 理工 作 在 应 用 层 ， 并 检查 各 项 数据 ， 因 此 可 按 一 定 准则 让 代理 生成 各 项 日 志 
记录 。 这 些 日 志 、 记 录 对 于 流量 分 析 、 安 全 检查 是 十 分 重要 的 。 当 然 ， 也 可 以 用 于 记 费 等 
应 用 。 


(3) 代理 能 灵活 、 完 全 地 控制 进出 流量 、 内 容 

通过 采取 一 定 的 措施 ， 按 照 一 定 的 规则 ， 用 户 可 以 借助 代理 实现 一 整套 的 安全 策略 。 
例如 ， 可 以 控制 “ 谁 ” 和 “什么 ” 还 有 “时 间 ” 和 “地 点 ”。 

(4) 代理 能 过 滤 数 据 内 容 
用 户 可 以 把 一 些 过 滤 规 则 应 用 于 代理 ， 让 它 在 高 层 实现 过 滤 功 能 ， 例 如 文本 过 滤 、 图 
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(5) 代理 能 为 用 户 提供 透明 的 加 密 机 制 
户 通过 代理 输入 /输出 数据 ， 可 以 让 代理 完成 加 解密 的 功能 ， 从 而 方便 用 户 ， 确 保 数 
据 的 机 密 性 。 这 一 点 在 虚拟 专用 网 中 特别 重要 。 代 理 可 以 广泛 地 用 于 企业 外 部 网 中 ， 提 供 
较 高 安全 性 的 数据 通信 。 

(6) 代理 可 以 方便 地 与 其 他 安全 手段 集成 

目前 的 安全 问题 解决 方案 很 多 ， 例 如 认证 (Authentication)、 授 权 (Authorization)、 账 
号 (Accounting)、 数 据 加 密 、 安 全 协议 SSL 等 。 如 果 把 代理 与 这 些 手段 联合 使 用 ， 将 大 大 
增加 网 络 安全 性 。 这 也 是 近期 网 络 安全 的 发 展 方向 。 


5 代理 服务 技术 的 缺点 


(1) 代理 速度 较 路 由 器 慢 

路 由 器 只 是 简单 查看 TCP/IP 报头 ， 检 查 特 定 的 几 个 域 ， 不 作 详 细 分 析 、 记 录 ; 而 代理 
工作 于 应 用 层 ， 要 检查 数据 包 的 内 容 ， 按 特定 的 应 用 协议 (例如 HITP) 进行 审查 、 扫 描 
数据 包 内 容 ， 并 进行 代理 (转发 请 求 或 响应 )， 故 其 速度 较 慢 。 

(2) 代理 对 用 户 不 透明 

许多 代理 要 求 客 户 端 作 相 应 改动 或 安装 定制 客户 端 软件 ， 这 给 用 户 增 加 了 不 透明 度 。 
由 于 硬件 平台 和 操作 系统 都 存在 差异 ， 要 为 庞大 的 异 构 网 络 的 每 一 台 内 部 主机 安装 和 配置 
特定 的 应 用 程序 既 耗 费时 间 ， 又 容易 出 错 。 

(3) 对 于 每 项 服务 代理 可 能 要 求 不 同 的 服务 器 

可 能 需要 为 每 项 协议 设置 一 个 不 同 的 代理 服务 器 ， 因 为 代理 服务 器 不 得 不 理解 协议 以 
便 判断 什么 是 允许 的 和 什么 是 不 允许 的 ， 并 且 还 要 扮演 一 个 对 真实 服务 器 来 说 是 客户 、 对 
代理 客户 来 说 是 服务 器 的 角色 。 挑 选 、 安 装 和 配置 所 有 这 些 不 同 的 服务 器 ， 也 可 能 是 一 项 
工作 量 较 大 的 工作 。 

(4) 代理 服务 不 能 保证 免 受 所 有 协议 弱点 的 限制 

作为 一 种 解决 安全 问题 的 方法 ， 代 理 的 成 效 取决 于 其 对 协议 中 哪些 是 安全 操作 的 判断 
能 力 。 每 个 应 用 层 协 议 都 或 多 或 少 存在 着 一 些 安全 问题 ， 对 于 一 个 代理 服务 器 来 说 ， 要 彻 
底 避 免 这 些 安全 隐患 几乎 是 不 可 能 的 ， 除 非 关 掉 这 些 服 务 。 

此 外 ， 代 理 的 成 效 还 取决 于 在 客户 端 和 真实 服务 器 之 间 插 入 代理 服务 器 的 能 力 ， 这 要 
求 两 者 之 间 交 流 的 相对 直接 性 ， 而 且 有 些 服务 的 代理 是 相当 复杂 的 。 

(5) 代理 不 能 改进 底层 协议 的 安全 性 

因为 代理 工作 于 TCP/IP 之 上 , 属于 应 用 层 ， 也 就 无 法 改善 底层 通信 协议 的 安全 防范 能 
力 ( 例 如 IP 欺骗、 伪造 ICMP 消息 和 一 些 拒 绝 服 务 的 攻击 )。 而 这 些 方 面 ， 对 于 一 个 网 络 
的 健壮 性 来 说 是 相当 重要 的 。 

6. 两 种 防火 墙 技术 的 对 比 

两 种 防火 墙 技术 的 对 比 ， 如 表 6-1 所 示 。 
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表 6-1 两 种 防火 墙 技术 的 对 比 
包 过 滤 防 火 二 
内 置 了 专门 为 提高 安全 性 而 编制 的 代理 应 用 程 

价格 较 低 序 ， 能 够 透彻 地 理解 相关 服务 的 命令 ， 对 来 往 
优 的 数据 包 进 行 安全 化 处 理 
工作 在 网 络 和 传输 层 ， 所 以 处 理 数据 包 的 速度 | 不 允许 数据 包 直 接 通 过 火 墙 ， 避 免 了 数据 驱动 
点 | 快 、 效率 高 式 攻击 的 发 生 ， 安 全 性 好 
ee .wpe mej。 | 能 生成 各 项 记录 能 灵活 、 完 全 地 控制 进出 的 
提供 适 明 的 服务 ， 用 户 不 用 改变 客户 端 程序 。 | 计 品 和 内 容 ， 能 汪 站 效 居 内 窑 
定义 复杂 ， 容 易 出 现 因 配 置 不 当 带 来 的 问题 。 | 对 于 每 项 服务 ， 代 理 可 能 要 求 不 同 的 服务 器 
允许 数据 包 直 接 通过 ， 存 在 遭受 数据 哎 动 式 攻 


缺 击 的 潜在 危险 可 谋 较 介 
不 能 彻底 防止 地 址 欺骗 对 用 户 不 透明 ， 用 户 需 要 改变 客户 端 程序 
数据 包 中 只 有 来 自 哪 台 机 器 的 信息 ， 不 包含 来 | .0 CR 

自 哪个 用 户 的 信息 ， 不 支持 用 户 认证 不 能 保证 免 受 所 有 协议 弱点 的 限制 

“| 不 能 理解 特定 服务 的 上 下 文 环境 ， 相 应 控制 只 | 速度 较 慢 ， 不 太 适 用 于 高 速 网 CATM 或 千 光 位 
能 在 高 层 由 代理 服务 和 应 用 层 网 关 来 完成 Intranet 等 ) 之 问 的 应 用 
不 提供 日 志 功 能 不 能 改进 底层 协议 的 安全 性 


通过 对 代理 服务 器 和 包 过 滤器 进行 比较 ， 了 解 它 们 提供 的 网 络 安全 有 什么 不 同 也 是 非 
常 必要 的 。 

(1) 代理 服务 器 对 整个 IP 数据 包 的 数据 进行 扫描 ， 因 此 能 够 比 包 过 滤器 提供 更 详细 
的 日 志文 件 。 

(2) 如 果 数 据 包 和 包 过 滤 规 则 匹配 ， 就 允许 数据 包 通 过 防火 墙 ， 而 代理 服务 器 要 用 新 
的 源 瑟 地 址 重建 数据 包 ， 这 样 对 外 隐藏 了 内 部 用 户 。 

(3) 使 用 代理 服务 器 ， 意 味 着 在 Internet 上 必须 有 一 个 服务 器 ， 且 内 部 主机 不 能 直接 
与 外 部 主机 相连 ， 因 此 带 有 恶意 攻击 的 外 部 数据 包 也 就 不 能 到 达 内 部 主机 。 

(4) 对 网 络 通信 而 言 ， 如 果 包 过 滤器 由 于 某 种 原因 不 能 工作 ， 可 能 出 现 的 结果 是 所 有 
的 数据 包 都 能 到 达 内 部 网 ， 而 如 果 代 理 服 务 器 由 于 某 种 原因 不 能 工作 ， 整 个 网 络 通信 将 被 
终止 。 


6.2.4 状态 检测 技术 


mn 


为 了 克服 基本 包 过 滤 模 式 所 带 有 的 明显 安全 问题 ， 一 些 包 过 滤 防 火 墙 厂 商 提出 了 所 谓 
的 状态 包 检测 〈Stateful Inspection) 概念 。 上 面 提 到 的 包 过 滤 技术 简单 地 查看 每 一 个 单一 的 
输入 包 信息 ， 而 状态 包 检测 模式 则 增加 了 更 多 的 包 和 包 之 间 的 安全 上 下 文 检 查 ， 以 达到 与 
应 用 级 代理 防火 墙 相 类 似 的 安全 性 能 。 状 态 包 检测 防火 墙 在 网 络 层 拦截 输入 包 ， 并 利用 足 
够 的 企图 连接 的 状态 信息 作出 决策 〈 通 过 对 高 层 的 信息 进行 某 种 形式 的 多 辑 或 数学 运算 )， 
如 图 6-8 所 示 。 
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外 部 主机 


图 6-8 状态 包 检测 防火 墙 


这 些 包 在 操作 系统 内 核 的 私有 检测 模块 中 进行 检测 。 安 全 决策 所 需 的 相关 状态 信息 在 
检测 模块 中 进行 检测 ， 然 后 保留 在 评价 后 续 连 接 企 图 的 动态 状态 表 〈( 库 ) 中 。 被 检查 通过 
的 包 发 往 防 火 墙 内 部 ， 人 允许 直接 连接 内 部 、 外 部 主机 系统 。 

状态 包 检 测 防火 墙 工 作 在 协议 栈 的 较 低 层 ， 通 过 防火 墙 的 所 有 数据 包 都 在 低层 进行 处 
理 ， 不 需要 协议 栈 的 上 层 来 处 理 任何 数据 包 ， 因 此 减少 了 高 层 协议 头 的 开销 ， 执 行 效率 也 
大 大 提高 了 。 

男 外 ， 一旦 一 个 连接 在 防火 墙 中 建立 起 来 ， 就 不 用 再 对 该 连接 进行 更 多 的 处 理 。 这 样 
系统 就 可 以 去 处 理 其 他 连接 ， 执 行 效率 可 以 得 到 进一步 的 提高 。 尽 管状 态 包 检 测 防火 墙 显 
著 地 增强 了 简单 包 过 滤 防 火 墙 的 安全 性 ， 但 它 仍然 不 能 提供 和 前 面 提 及 的 应 用 级 检测 相似 
的 充足 能 见 度 。 状 态 包 检测 防火 墙 不 依靠 与 应 用 层 有 关 的 代理 ， 而 是 依靠 某 种 算法 来 识别 
进出 的 应 用 层 数 据 ， 即 根据 已 知 合法 数据 包 来 比较 进出 防火 墙 的 数据 包 ， 这 样 从 理论 上 就 
能 比 应 用 级 代理 在 过 滤 数 据 包 上 更 加 有 效 。 但 应 用 级 代理 防火 墙 对 最 高 层 的 协议 栈 内 容 有 
足够 的 能 见 度 ， 从 而 可 以 准确 地 知道 它 的 意图 ， 而 状态 包 检 测 防火 墙 必 须 在 没有 这 些 信息 
的 情况 下 作出 安全 决策 。 

例如 ， 当 应 用 级 代理 防火 墙 厂商 声称 支持 微软 SQL Server 时 ， 任 何 到 内 部 SQL Server 

服务 器 的 远程 连接 必须 在 应 用 层 通过 专门 的 微软 SQL 代理 接受 全 面 的 检测 ; 而 对 于 状态 包 
检测 防火 墙 ， 允 许 远程 用 户 访问 防火 墙 后 面 的 SQL 数据 库 肯 定 要 冒 极 大 的 安全 风险 。 
带 有 状态 检测 的 包 过 滤 防 火 墙 仍然 允许 外 部 用 户 直接 访问 内 网 系统 和 应 用 程序 ， 而 这 
些 程序 和 系统 可 能 配置 在 拥有 众所周知 的 安全 弱点 的 操作 系统 上 。 应 用 级 代理 通过 一 个 自 
身 具 有 有 限 、 明 确 任务 集 的 代理 来 限制 访问 应 用 程序 或 计算 机 系统 ， 从 而 克服 了 这 些 同样 
的 弱点 。 因 此 ， 应 用 级 代理 防火 墙 提供 了 比 包 过 滤 防 火 墙 更 多 的 安全 性 。 


6.2.5 ” 自 适应 代理 技术 


自 适应 代理 (Adaptive Proxy) 防火 墙 技术 ， 从 本 质 上 来 讲 也 属于 代理 服务 技术 ， 但 它 
还 结合 了 动态 包 过 滤 〈 状 态 包 检 测 ) 技术 。 
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自 适 应 代理 技术 是 较 新 的 一 种 防火 墙 设计 ， 它 将 前 几 代 防 火 墙 的 优点 合成 到 一 个 单一 
的 完整 系统 中 并 使 它们 的 弱点 缩减 到 最 小 。 对 于 自 适应 代理 服务 器 来 说 ， 基 本 的 安全 检测 
仍 在 应 用 层 进行 ， 但 一 旦 安全 检测 代理 明确 了 会 话 的 所 有 细节 ， 那 么 其 后 的 数据 包 就 可 以 
直接 经 过 速度 更 快 的 网 络 层 。 因 此 ， 自 适应 代理 防火 墙 基本 上 和 标准 代理 服务 防火 墙 一 样 
安全 ， 并 且 比 状态 包 检 测 有 更 快 的 性 能 。 

自 适 应 代理 防火 墙 也 比 标准 的 代理 防火 墙 更 灵活 ， 为 安全 管理 者 提供 了 更 明确 的 控制 
以 满足 他 们 的 特殊 需求 ， 从 而 使 “速度 和 安全 ”的 折 中 处 于 最 佳 状态 。 

组 成 这 种 类 型 防火 墙 的 基本 要 素 有 两 个 : 自 适应 代理 服务 器 (Adaptive Proxy Server， 
APS) 与 动态 包 过 滤器 。 在 自 适 应 代理 与 动态 包 过 滤器 之 间 存 在 一 个 控制 通道 。 在 对 防火 
墙 进行 配置 时 ， 用 户 仅仅 将 所 需要 的 服务 类 型 、 安 全 级 别 等 信息 通过 相应 代理 的 管理 界面 
进行 设置 就 可 以 了 。 然 后 ， 自 适应 代理 就 可 以 根据 用 户 的 配置 信息 ， 决 定 是 使 用 代理 服务 
从 应 用 层 代理 请 求 或 是 从 网 络 层 转发 数据 包 。 如 果 是 后 者 ， 它 将 动态 地 通知 包 过 滤器 增 减 
过 滤 规 则 ， 满 足 用 户 对 速度 和 安全 性 的 双重 要 求 。 所 以 ， 它 结合 了 应 用 层 网 关 防 火 墙 的 安 
全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ， 在 毫 不 损失 安全 性 的 基础 之 上 将 代理 型 防火 墙 的 性 
能 提高 了 10 倍 以 上 。 


6.3 ”防火 墙 的 体系 结构 


目前 ， 防 火 墙 的 体系 结构 一 般 有 屏蔽 路 由 器 体系 结构 、 双 重 宿主 主机 体系 结构 、 屏 项 
主机 体系 结构 和 屏蔽 子 网 体系 结构 4 种。 


6.3.1 和 异 项 路 由 器 体系 结构 


屏蔽 路 由 器 (Screening Router，SR) 又 称 为 包 过 滤 路 由 器 ， 是 最 简单 也 是 最 常见 的 防 
火 墙 。 屏 项 路 由 器 作为 内 外 连接 的 唯一 通 ss 
道 ， 要 求 所 有 的 报 文 都 必须 在 此 通过 检查 ， 《Inemet 三 全 和 才 一 人 内 部 网 
它 除了 具有 路 由 功能 外 ， 还 可 安装 包 过 滤 i 
软件 ， 利 用 包 过 滤 规 则 完成 基本 的 防火 墙 | 
功能 ， 如 图 6-9 所 示 。 图 6-9 屏蔽 路 由 器 体系 结构 

屏蔽 路 由 器 可 以 由 厂家 专门 生产 的 路 由 器 实现 ， 也 可 以 用 主机 来 实现 。 

这 种 配置 的 缺点 在 于 : 

(1) 没有 或 有 很 少 的 日 志 记 录 能 力 ， 因此 网 络 管理 员 很 难 确定 系统 是 否 正在 被 入 侵 或 
已 经 被 入 侵 了 。 

(2) 规则 表 随 着 应 用 的 不 断 深化 ， 将 会 很 快 变 得 很 大 而 且 复 杂 。 

(3) 这 种 防火 墙 的 最 大 弱点 是 依靠 一 个 单一 的 部 件 来 保护 系统 ， 一 旦 部 件 出 现 问题 ， 
会 使 网 络 的 大 门 敞开 ， 而 用 户 可 能 还 不 知道 。 
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6.3.2 ”双重 宿主 主机 体系 结构 


双重 宿主 主机 (Dual Homed Host，DHH) 体系 结构 是 围绕 具有 双重 宿主 的 堡垒 主机 构 
筑 的 ， 该 堡垒 主机 至 少 有 两 块 网 卡 。 这 样 的 堡垒 主机 可 以 充当 与 其 所 带 网 卡 相连 的 网 络 之 
间 的 路 由 器 ， 能 够 从 一 块 网 卡 到 另 一 块 网 卡 转发 耳 数据 包 。 但 是 ， 实 现 双重 宿主 主机 的 防 
火 墙 体系 结构 禁止 这 种 转发 功能 ， 因 此 在 拥有 这 种 防火 墙 体系 结构 的 网 络 中 ，IP 数据 包 并 
不 是 直接 从 一 个 网 络 〈 例 如 因特网 ) 发 送 到 其 他 网 络 〈 例 如 内 部 的 、 被 保护 的 网 络 ) 的 。 

也 就 是 说 ， 防 火 墙 内 部 的 系统 能 与 双重 宿主 主机 通信 ， 同 时 防火 墙 外 部 的 系统 〈 在 因 
特 网 上 ) 也 能 与 双重 宿主 主机 通信 ， 但 是 这 些 系统 之 间 不 能 直接 互相 通信 ， 它 们 之 间 的 Pp 
通信 被 完全 阻止 。 

双重 宿主 主机 的 防火 墙 体系 结构 是 相当 简单 的 : 双重 宿主 主机 位 于 两 者 之 间 ， 并 且 被 
分 别 连接 到 因特网 和 内 部 网 络 ， 如 图 6-10 所 示 。 


有 双 网 卡 的 
堡垒 主机 


图 6-10 双重 宿主 主机 体系 结构 
双重 宿主 主机 网 关 优 于 屏蔽 路 由 器 的 地 方 是 : 煲 垒 主机 的 系统 软件 可 用 于 维护 系统 日 
志 、 硬 件 复制 日 志 或 远程 日 志 。 这 对 于 日 后 的 检查 很 有 用 ， 但 尚 不 足以 帮助 网 络 管理 者 确 
认 内 部 网 中 哪些 主机 可 能 已 被 黑客 入 侵 。 
双重 宿主 主机 网 关 的 一 个 致命 弱点 是 : 一 旦 入 侵 者 侵入 堡垒 主机 并 使 其 只 具有 路 由 功 
能 ， 则 任何 网 上 用 户 均 可 以 随意 访问 内 部 网 。 


6.3.3 和 异 项 主机 体系 结构 


屏蔽 主 机 网 关 〈Screened Gateway，SG) 由 屏蔽 路 由 器 和 应 用 网 关 组 成 ， 屏 蔽 路 由 器 
的 作用 是 包 过 滤 ， 应 用 网 关 的 作用 是 代理 服务 ， 即 在 内 部 网 络 和 外 部 网 络 之 间 建 立 了 两 道 
安全 屏障 ， 既 实现 了 网 络 层 安全 ( 包 过 滤 )， 又 实现 了 应 用 层 安 全 代理 服务 )。 

屏蔽 主机 网 关 很 容易 实现 : 在 内 部 网 络 与 因特网 的 交汇 点 安装 一 台 屏 蔽 路 由 器 ， 同 时 
在 内 部 网 络 上 安装 一 台 堡垒 主 机 《应 用 层 网 关 ) 即 可 ， 如 图 6-11 所 示 。 
值得 注意 的 是 ， 应 用 网 关 只 有 一 块 网 卡 ， 因 此 它 不 是 双重 宿主 主机 网 关 。 
屏蔽 主机 网 关 防 火 墙 具有 双重 保护 ， 比 双重 宿主 主机 网 关 防 火 墙 更 灵活 ， 安 全 性 更 高 ; 
于 要 求 对 两 个 部 件 进行 配置 以 便 能 协同 工作 ， 所 以 防火 墙 的 配置 工作 很 复杂 。 


但 
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内 部 网 


图 6-11 屏蔽 主机 体系 结构 
6.3.4 和 异 殴 子 网 体系 结构 


屏蔽 子 网 (Screened Subnet，SS) 防火 墙 是 在 屏蔽 主机 网 关 防 火 墙 的 基础 上 再 加 一 个 
路 由 器 ， 两 个 屏蔽 路 由 器 分 别 放 在 子 网 的 两 端 ， 形 成 一 个 被 称 为 隔离 区 或 非 军 事 区 
(Demilitarized Zone，DMZ) 的 子 网 ， 即 在 内 部 网 络 和 外 部 网 络 之 间 建 立 一 个 被 隔离 的 子 
网 ， 如 图 6-12 所 示 。 


图 6-12 最 简单 的 屏蔽 子 网 体系 结构 


内 部 网 络 和 外 部 网 络 均 可 访问 被 屏蔽 子 网 ， 但 禁止 它们 穿 过 被 屏蔽 子 网 进行 通信 ， 像 
WWW 和 FTP 服务 器 等 对 外 提供 服务 的 服务 器 可 放 在 DMZ 中 。 有 的 屏蔽 子 网 中 还 设 有 一 
人 台 煲 又 主机 作为 唯一 可 访问 点 ， 支 持 终端 交互 或 作为 应 用 网 关 代理 。 

这 种 配置 的 危险 带 仅 包括 堡垒 主机 、 子 网 主机 及 所 有 连接 内 网 、 外 网 和 屏蔽 子 网 的 路 
由 器 。 外 部 屏蔽 路 由 器 和 应 用 网 关 与 在 屏蔽 主机 网 关 防 火 墙 中 的 功能 相同 ， 内 部 屏蔽 路 由 
器 在 应 用 网 关 与 受 保护 网 络 之 间 提 供 附加 保护 ， 从 而 形成 3 道 防线 。 因 此 ， 一 个 入 侵 者 要 
进入 受 保护 的 网 络 比 主机 过 滤 防 火 墙 更 加 困难 。 

但 是 ， 它 要 求 的 设备 和 软件 模块 最 多 ， 其 配置 最 贵 且 相当 复杂 。 


6.3.5 ”组 合体 系 结构 


搭建 防火 墙 时 , 一 般 很 少 采 用 单一 的 技术 , 通常 采用 解决 不 同 问题 的 多 种 技术 的 组 合 。 
这 种 组 合 主要 取决 于 网 管 中 心 想 向 用 户 提供 什么 样 的 服务 、 网 管 中 心 对 网 络 安全 等 级 的 要 
求 以 及 能 够 接受 的 风险 ， 也 取决 于 经 费 、 投 资 的 大 小 或 技术 人 员 的 技术 水 平等 因素 。 
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1. 多 堡垒 主机 

理想 情况 下 ， 堡 又 主机 应 该 只 提供 一 种 服务 ， 因 为 提供 的 服务 越 多 ， 在 系统 上 安装 服 
务 而 导致 安全 隐患 的 可 能 性 也 就 越 大 。 这 就 意味 着 ， 如 果 在 网 络 边界 上 拥有 一 个 防火 墙 程 
序 、 一 台 Web 服务 器 、 一 台 DNS 服务 器 和 一 台 FTP 服务 器 ， 那 么 就 需要 配置 4 台独 立 的 
煲 公 主机 。 

使 用 如 图 6-13 所 示 的 多 堡垒 主机 ， 可 以 改善 网 络 安全 性 能 、 引 入 宛 余 度 以 及 隔离 数据 
和 服务 器 。 


外 部 路 由 器 


图 6-13 双全 主机 的 屏蔽 子 网 体系 结构 
2. 合并 内 部 路 由 器 和 外 部 路 由 器 
通常 屏蔽 子 网 体系 结构 要 求 在 子 网 两 侧 各 使 用 一 个 路 由 器 分 别 充 当 内 部 和 外 部 路 由 
器 ， 在 每 个 接口 上 设置 入 站 和 出 站 的 过 滤 规 则 ， 而 将 两 者 合并 后 ， 就 变 成 了 如 图 6-14 所 示 
的 体系 结构 。 其 优点 是 节约 了 路 由 器 的 开支 ， 最 主要 的 缺点 是 黑客 只 要 攻破 该 路 由 器 就 可 
以 进入 内 部 网 络 。 


》 
~、 Internet 


图 6-14 单个 路 由 器 的 屏蔽 子 网 体系 结构 


3. 合并 堡垒 主机 和 外 部 路 由 器 


使 用 一 个 配 有 双 网 卡 的 主机 ， 既 做 煲 垒 主机 又 充当 外 部 路 由 器 。 在 这 种 体系 结构 中 ， 
保 垒 主机 没有 外 部 路 由 器 的 保护 ， 直 接 暴 露 给 了 Internet， 安 全 性 不 好 。 
这 种 方案 的 唯一 保护 是 堡垒 主机 自己 提供 的 包 过 滤 功 能 。 当 网 络 只 有 一 个 到 Internet 


@ 计算 机 网 络 安全 技术 与 应 用 


的 拨号 PPP 连接 ， 并 且 堡 又 主机 上 运行 了 PPP 数据 包 时 ， 也 可 以 选择 这 种 设置 方法 。 
堡垒 主机 充当 外 部 路 由 器 如 图 6-15 所 示 。 
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人 | yD 1 / 

| 内 部 路 由 器 。 | 

1 。 保全 主机 | 

1 外 部 路 由 器 ! 

1 DMZ | 


图 6-15 堡垒 主机 充当 外 部 路 由 器 
4. 合并 堡 公主 机 和 内 部 路 由 器 


使 用 一 个 配 有 双 网 卡 的 主机 ， 既 做 堡垒 主机 又 充当 内 部 路 由 器 。 此 时 ， 堡 又 主机 与 内 
部 网 通信 ， 以 便 转 发 从 外 部 网 获得 的 信息 。 
煲 垒 主机 充当 内 部 路 由 器 如 图 6-16 所 示 。 


1 
1 
1 一 
Internet 1 宇 二 
1 
1 外 部 路 由 器 ! 
| 保健 主机 “|! 
1 
Li 内 部 路 由 器 | 
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图 6-16 堡垒 主机 充当 内 部 路 由 器 
5. 使 用 多 台 外 部 路 由 器 
如 果 内 部 网 络 既 要 连接 到 Internet, 同时 还 要 并 行 地 连接 到 分 支 机 构 或 者 合作 伙伴 的 网 
络 ， 就 可 以 放置 多 台 外 部 路 由 器 ， 它 们 的 工作 方式 与 单 台 路 由 器 相同 。 
当 有 了 两 台 外 部 路 由 器 时 ， 黑 客 攻 入 任 一 个 路 由 器 的 机 会 就 增加 了 一 倍 ， 多 台 亦 然 。 
多 台 外 部 路 由 器 的 子 网 过 滤 体 系 结构 如 图 6-17 所 示 。 


图 6-17 多 人 台 外 部 路 由 器 的 屏蔽 子 网 过 滤 体 系 结构 


6. 使 用 多 个 周边 网 络 
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如 果 内 部 网 络 与 分 支 机 构 及 合作 伙伴 之 间 的 网 络 有 任务 紧急 的 应 用 连接 ， 需 要 并 发 处 
理 ， 就 可 以 使 用 多 个 DMZ， 以 确保 高 可 靠 性 和 高 安全 性 。 
这 种 结构 的 优点 是 ， 提 高 了 网 络 的 元 余 度 ， 在 数据 传输 中 将 不 同 的 网 络 隔离 开 ， 增 加 


了 数据 的 保密 性 。 


其 缺点 是 ， 存 在 多 个 路 由 器 ， 它 们 都 是 进入 内 部 网 的 通道 。 如 果 不 能 严格 地 监控 和 管 
理 这 些 路 由 器 ， 就 会 给 入 侵 者 提供 更 多 的 机 会 。 
有 两 个 DMZ 的 屏蔽 子 网 体系 结构 如 图 6-18 所 示 。 


图 6-18 双 DMZ 的 屏蔽 子 网 体系 结构 


6.4 ”防火 墙 选 型 与 产品 简介 


6.4.1 防火 墙 产品 选 购 策略 


防火 墙 系统 可 以 说 是 网 络 的 第 一 道 防线 ， 


因此 用 户 在 决定 使 用 防火 墙 保护 内 部 网 络 的 


安全 时 ， 第 一 步 要 做 的 事情 就 是 选 购 一 个 安全 、 实 惠 、 合 适 的 防火 墙 。 而 在 市 场 上 ， 防 火 
墙 的 售 价 相差 悬殊 ， 从 几 万 元 到 数 十 万 元 ， 甚 至 上 百 万 元 不 等 。 因 为 各 用 户 要 求 的 安全 程 
度 不 尽 相 同 ， 因 此 广 商 所 推出 的 产品 也 就 有 所 区 分 ， 甚 至 有 些 公司 还 推出 类 似 模块 化 的 功 
能 产品 ， 以 满足 各 种 不 同 用 户 的 安全 要 求 。 面 对 种 类 如 此 繁多 的 防火 墙 产品 ， 用 户 应 该 如 


何 进行 取舍 呢 ? 


首先 ， 用 户 需要 了 解 一 个 防火 墙 系统 应 具备 的 基本 功能 ， 这 是 用 户 选择 防火 墙 产品 的 
依据 和 前 提 ; 其 次 ， 选 购 防火 墙 时 主要 应 该 考虑 安全 性 、 高 效 性 、 适 用 性 、 可 管理 性 和 售 


后 服务 体系 等 因素 。 


民 : 计算 机 网 络 安全 技术 与 应 用 


1. 防火墙 的 安全 性 

安全 性 是 评价 防火 墙 好 坏 最 重要 的 因素 ， 因 为 购买 防火 墙 的 主要 目的 就 是 为 了 保护 网 
络 免 受 攻击 。 但 是 安全 性 不 像 速度 、 配 置 界 面 那样 直观 、 便 于 估计 ， 往 往 被 用 户 忽视 。 对 
于 安全 性 的 评估 ， 需 要 配合 使 用 一 些 攻击 手段 进行 。 

防火 墙 自身 的 安全 性 也 很 重要 ， 大 多 数 人 在 选择 防火 墙 时 都 将 注意 力 放 在 防火 墙 如 何 
控制 连接 以 及 防火 墙 支持 多 少 种 服务 上 ， 而 往往 忽略 了 一 点 一 防火 墙 也 是 网 络 上 的 主机 
之 一 ， 也 可 能 存在 安全 问题 ， 当 防火 墙 主机 上 所 运行 的 软件 出 现 安全 漏洞 时 ， 防 火 墙 本 身 
也 将 受到 威胁 ， 此 时 任何 的 防火 墙 控制 机 制 都 可 能 失效 。 因 此 ， 如 果 防 火 墙 不 能 确保 自身 
安全 ， 则 防火 墙 的 控制 功能 再 强 ， 也 不 能 完全 保护 内 部 网 络 。 

2. 防火墙 的 高 效 性 
用 户 的 需求 是 选 购 何 种 性 能 防火 墙 的 决定 因素 。 
用 户 安全 策略 中 往往 还 可 能 会 考虑 一 些 特殊 功能 要 求 ， 但 并 不 是 每 一 个 防火 墙 都 会 提 
供 这 些 特殊 功能 的 。 用 户 常见 的 需求 可 能 包括 : 

(1) 网 络 地 址 转换 功能 NAT 


攻击 内 部 网 络 ， 这 也 是 要 强调 防火 墙 自 身 安全 性 问题 的 主要 原因 ; 其 二 是 可 以 使 内 部 使 用 
保留 的 下 地 址 ， 这 对 许多 IP 地 址 不 足 的 企业 是 有 益 的 。 

(2) 双重 域名 服务 DNS 

当 内 部 网 络 使 用 没有 注册 的 了 地 址 或 是 防火 墙 进行 PP 地 址 转换 时 ，DNS 也 必须 经 过 
转换 ， 因 为 同样 的 一 台 主 机 在 内 部 的 IP 地 址 与 给 予 外 界 的 IP 地 址 是 不 同 的 ， 有 的 防火 墙 
会 提供 双重 DNS， 有 的 则 必须 在 不 同 主机 上 各 安装 一 个 DNS。 

(3) 虚拟 专用 网 络 VPN 

VPN 可 以 在 防火 墙 与 防火 墙 或 移动 的 客户 端 之 间 对 所 有 网 络 传输 的 内 容 进 行 加 密 ， 建 
立 一 个 虚拟 通道 ， 让 两 者 感觉 是 在 同一 个 网 络 上 ， 可 以 安全 且 不 受 拘束 地 互相 存 取 。 

(4) 杀毒 功能 

大 部 分 防火 墙 都 可 以 与 防 病毒 软件 搭配 实现 杀毒 功能 ， 有 的 防火 墙 甚至 直接 集成 了 
杀毒 功能 。 两 者 的 主要 差别 只 是 后 者 的 杀毒 工作 由 防火 墙 完成 ， 或 由 另 一 台 专 用 的 计算 机 
完成 。 

(5) 特殊 控制 需求 

有 时 企业 会 有 一 些 特别 的 控制 需求 ， 例 如 限制 特定 使 用 者 才能 发 送 E-mail FTP 服务 
只 能 下 载 文件 ， 不 能 上 传 文件 ， 限 制 同时 上 网 的 人 数 ; 限制 使 用 时 间或 阻塞 Java、ActiveX 
控件 等 ， 依 需求 不 同 而 异 。 

防火 墙 的 性 能 主要 包括 两 个 方面 ， 最 大 并 发 连接 数 和 数据 包 转 发 率 。 最 大 并 发 连接 数 
是 衡量 防火 墙 可 扩展 性 的 一 个 重要 指标 。 数 据 包 转 发 率 是 指 在 所 有 安全 规则 配置 正确 的 情 
况 下 ， 防 火 墙 对 数据 流量 的 处 理 速 度 。 购 买 防火 墙 的 需求 不 同 ， 对 这 两 个 参数 的 要 求 也 不 
同 。 例如， 一 台 用 于 保护 电子 商务 Web 站 点 的 防火 墙 ， 支 持 越 多 的 连接 意味 着 能 够 接受 越 
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多 的 客户 和 交易 ， 所 以 防火 墙 能 够 同时 处 理 多 个 用 户 的 请 求 是 最 重要 的 ， 哪 怕 每 个 连接 的 


流量 


很 小 ; 但 是 对 于 那些 经 常 需要 传输 大 的 文件 且 对 实时 性 要 求 比较 高 的 用 户 ， 高 的 包 转 


发 率 则 是 关注 的 重点 。 


3. 防火 墙 的 适用 性 


适用 性 是 指 量力 而 行 。 防 火 墙 也 有 高 低 端 之 分 ， 配 置 不 同 ， 价 格 不 同 ， 性 能 也 不 同 。 


同时 ， 防 火 墙 有 许多 种 形式 ， 有 的 以 软件 形式 运行 在 普通 计算 机 之 上 ， 有 的 以 硬件 形式 单 
独 实现 ， 也 有 的 以 固件 形式 设计 在 路 由 器 之 中 。 所 以 ， 在 购买 防火 墙 之 前 ， 用 户 必 须 了 
解 各 种 形式 防火 墙 的 原理 、 工 作 方式 和 不 同 的 特点 ， 才 能 评估 它 是 否 能 够 真正 满足 自己 的 
需要 。 


另外 ， 用 户 挑选 防火 墙 时 ， 还 应 该 考虑 自身 的 因素 。 例 如 : 

(1) 用 户 网 络 受 威胁 的 程度 。 

(2) 若 入 侵 者 浆 入 网 络 ， 或 由 于 硬件 、 软 件 失 效 ， 将 要 受到 的 潜在 损失 。 

(3) 其 他 已 经 用 来 保护 网 络 及 其 资源 的 安全 措施 。 

(4) 希望 能 从 Internet 得 到 的 服务 以 及 可 以 同时 通过 防火 墙 的 用 户 数目 。 

(5) 站 点 是 否 有 经 验 丰 富 的 管理 员 。 

(6) 今后 可 能 的 要 求 ， 例 如 要 求 增加 通过 防火 墙 的 网 络 活动 或 要 求 新 的 Internet 服 


务 等 。 


4. 防火 墙 的 可 管理 性 
防火 墙 的 管理 是 对 安全 性 的 一 个 补充 。 目 前 有 些 防 火 墙 的 管理 配置 需要 有 很 深 的 网 络 


和 安全 方面 的 专业 知识 ， 很 多 防火 墙 被 攻破 不 是 因为 程序 编码 的 问题 ， 而 是 管理 和 配置 错 
误导 致 的 。 


密 
已 
Ua 


面 是 


对 管理 的 评估 ， 可 以 从 以 下 3 个 方面 进行 。 

(1) 远程 管理 

允许 网 络 管理 员 对 防火 墙 进行 远程 干预 ,并 且 所 有 远程 通信 需要 经 过 严格 的 认证 和 加 
例如 ， 管 理 员 下 班 后 出 现 入 侵 迹 象 ， 防 火 墙 可 以 通过 发 送 电 子 邮件 的 方式 通知 该 管理 
管理 员 可 以 以 远程 方式 封锁 防火 墙 的 对 外 网 卡 接口 或 修改 防火 墙 的 配置 。 

(2) 访问 控制 规则 的 配置 界面 应 该 直观 、 使 用 简单 

大 多 数 防火 墙 产品 都 提供 了 基于 Web 方式 或 图 形 用 户 界 面 GUI 的 配置 界面 。 

(3) 日 志文 件 不 仅 能 够 帮助 用 户 追 查 攻击 者 的 踪迹 ， 还 可 以 记录 流量 

防火 墙 的 一 些 功能 可 以 在 日 志文 件 中 得 到 体现 。 防 火 墙 提供 灵活 、 可 读 性 强 的 审计 界 
很 重要 的 。 例 如 , 用 户 可 以 查询 从 某 一 固定 全 地 址 发 出 的 流量 、 访 问 的 服务 器 列表 等 ， 


因为 攻击 者 可 以 采用 不 停 地 填写 日 志 以 履 盖 原 有 日 志 的 方法 使 追踪 无 法 进行 ， 所 以 防火 墙 
应 该 提供 设 定 日 志 大 小 的 功能 ， 同 时 在 日 志 已 满 时 给 予 提 示 。 


因此 ， 最 好 选择 拥有 界面 友好 、 易 于 编程 的 卫 过 滤 语 言及 便于 维护 管理 的 防火 墙 。 
5. 完善 、 及 时 的 售后 服务 体系 
只 要 有 新 的 产品 出 现 , 就 会 有 人 研究 新 的 破解 方法 , 所 以 好 的 防火 墙 产 品 应 拥有 完善 、 
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及 时 的 售后 服务 体系 。 防火墙 和 相应 的 操作 系统 应 该 用 补丁 程序 进行 升级 ， 而 且 升 级 必须 
定期 进行 。 

总 之 ， 目 前 没有 任何 一 个 防火 墙 的 设计 能 够 适用 于 所 有 的 环境 ， 所 以 用 户 在 选 购 防 火 
墙 时 不 要 把 防火 墙 的 等 级 看 得 过 重 ， 而 应 根据 网 络 站 点 的 特点 来 选择 合适 的 防火 墙 ， 能 够 
满足 安全 要 求 即 可 ， 不 要 言 目 追求 高 性 能 。 

最 后 需要 强调 的 是 , 虽然 防火 墙 在 当今 Internet 上 的 存在 是 有 生命 力 的 , 但 并 不 意味 着 
能 够 桂 代 其 他 安全 措施 。 也 就 是 说 ， 它 不 是 解决 所 有 网 络 安全 问题 的 万 能 药方 ， 而 只 是 网 
络 安全 策略 中 的 一 个 组 成 部 分 ， 这 是 用 户 在 决定 购买 防火 墙 产品 之 前 就 应 该 明确 的 问题 。 


6.4.2 ”典型 防火 墙 产 品 介绍 


目前 国外 比较 知名 的 防火 墙 产 品 有 Check Point 公司 的 FireWall-1， 它 所 采用 的 访问 控 
制 规则 集 非常 完善 , 同时 提供 良好 的 用 户 界面 ; Cisco 公司 的 PIX 防火 墙 采用 自 适应 性 安全 
算法 (Adaptive Security Algorithm)， 性 能 优良 ; NAI 公司 的 Gaunlet 防火 墙 性 能 良好 ，NAI 
公司 还 提出 了 一 种 自 适应 防火 墙 ， 将 状态 包 过 滤 和 应 用 代理 技术 互补 使 用 ， 其 他 还 包括 
Cyberguard 公司 的 Cyberguard Firewall 和 Netscreen 的 Netscreen-100 等 。 国 内 比较 知名 的 防 
火 墙 产 品 包括 北大 青鸟 公司 的 网 关 防火 墙 ， 特 点 是 技术 新 、 配 置 简单 、 安 全 性 好 ;还 有 天 
融 信 公司 的 网 络 卫士 防火 墙 和 东 大 阿尔 派 公司 的 网 眼 防 火 墙 等 。 

一 个 成 功 的 防火 墙 产品 应 该 具有 以 下 基本 功能 。 

(1) 防火 墙 的 设计 策略 应 遵循 安全 防范 的 基本 原则 一 一 “除非 明确 允许 ， 和 否则 就 应 该 
禁止 ”。 

(2) 防火 墙 本 身 支 持 安全 策略 ， 而 不 是 添加 上 去 的 。 

(3) 如 果 组 织 机 构 的 安全 策略 发 生 改变 ， 可 以 加 入 新 的 服务 。 

(4) 有 先进 的 认证 手段 或 有 挂钩 程序 ， 可 以 安装 先进 的 认证 方法 。 

(5) 如 果 需 要 ， 可 运用 过 滤 技 术 允 许 和 禁止 服务 。 

(6) 可 以 使 用 FTP 和 Telnet 等 服务 代理 ， 以 便 先进 的 认证 手段 可 以 被 安装 和 运行 在 
防火 墙 上 。 

(7) 拥有 界面 友好 、 易 于 编程 的 人 P 过 滤 语 言 ， 并 可 以 根据 数据 包 的 性 质 进行 包 过 滤 。 
数据 包 的 性 质 有 源 和 目的 IP 地 址 、 协 议 类 型 、 源 和 目的 TCP/UDP 端口 、TCP 包 的 ACK 
位 、 出 站 和 入 站 网 络 接口 等 。 

下 面 简 单 介绍 一 下 3Com、Cisco 和 Check Point 等 公司 的 一 些 典 型 防火 墙 产 品 。 
1. 3Com Office Connect Firewall 


3Com Office Connect 系列 Internet 防火 墙 产品 为 小 企业 提供 确保 网 络 安全 的 廉价 和 高 
效 的 方法 。 经 过 ISCA 认证 的 这 种 防火 墙 能 拒 黑客 于 门 外 , 还 可 以 用 来 控制 局 域 网 对 Internet 
的 使 用 (如 禁止 用 户 访问 不 恰当 的 资料 ， 记 录 哪 些 站 点 最 常 被 访问 ， 以 及 Internet 连接 使 用 
了 多 大 的 带宽 )。 其 产品 特性 如 下 。 
(1) 新 增 的 网 络 管理 模块 使 技术 经 验 有 限 的 用 户 也 能 保障 其 商业 信息 的 安全 。 


第 6 章 ”防火墙 工作 原理 及 应 用 


(2) Office Connect Internet Firewall 使 用 全 静态 数据 包 检 验 技术 来 防止 非法 的 网 络 接 
入 和 防止 来 自 Internet 的 “拒绝 服务 ”攻击 ， 它 还 可 以 限制 局 域 网 用 户 对 Internet 的 不 恰当 
使 用 。 


(3) Office Connect Internet Firewall DMZ 可 支持 多 达 100 个 局 域 网 用 户 ， 整 个 办 公 室 
可 以 共享 ISP 提供 的 一 个 卫 地 址 ,从 而 节省 开支 ; 局 域 网 上 的 公共 服务 器 既 可 以 被 Internet 
访问 ， 又 不 会 使 局 域 网 遭受 攻击 。 

(4) 3Com 公司 所 有 的 防火 墙 产品 很 容易 通过 Getting Started Wizard 进行 安装 ， 使 用 
方便 。 
2. Cisco PIX 防火 墙 


Cisco 防火 墙 与 众 不 同 的 特点 是 基于 硬件 , 而 硬件 产品 的 最 大 好 处 就 是 速度 快 。 众 所 周 
知 ， 防 火 墙 的 安全 性 和 速度 是 一 对 矛盾 ， 而 采用 大 型 专用 集成 芯片 便 可 化 解 这 对 矛盾 ， 从 
而 解决 防火 墙 的 速度 瓶颈 问题 ， 这 对 于 网 络 中 心 和 银行 用 户 而 言 极 为 重要 。Cisco PIX 
Firewall 便 是 这 类 产品 ， 其 包 转 换 速 度 高 达 170Mbps， 同 时 可 处 理 6 万 多 个 连接 。 
将 防火 墙 技术 集成 到 路 由 器 中 是 Cisco 网 络 安全 产品 的 另 一 大 特色 。Cisco 在 路 由 器 市 
场 的 占有 率 达 到 80%， 在 路 由 器 的 IOS 中 集成 防火 墙 技术 是 其 他 厂家 无 可 比拟 的 。 这 样 做 
的 好 处 是 用 户 无 须 男 外 购置 防火 墙 ， 可 降低 网 络 建设 的 总 成 本 ; 而 且 它 还 可 以 通过 网 络 远 
程 下 载 ， 提 供 一 种 动态 的 网 络 安全 保护 。 其 产品 特性 如 下 : 
(1) 实时 霸 入 式 操 作 系 统 。 
(2) 保护 方案 基于 自 适应 安全 算法 ASA， 可 以 确保 最 高 的 安全 性 。 
(3) 用 于 验证 和 授权 的 “直通 代理 ”技术 。 
(4) 最 多 支持 250000 个 同时 连接 。 
(5) URL 过 滤 。 
(6) HP Open View 集成 。 
(7) 通过 电子 邮件 和 寻呼机 提供 报警 。 
(8) 通过 专用 链 路 加 密 卡 提供 VPN 支持 。 
(9) 符合 委托 技术 评估 计划 TTAP， 经 过 了 美国 安全 事务 处 NSA 的 认证 ， 同 时 通过 
了 中 国 公安 部 安全 检测 中 心 的 认证 (PIX520 除外 )。 
其 中 ，PIX Firewall 520 的 处 理性 能 是 最 好 的 ， 其 吞吐 量 可 达 150Mbps， 而 且 使 用 NAT 
时 不 影响 性 能 。 它 可 以 防止 有 害 的 SMTP 命令 ， 但 对 FTP， 它 不 能 对 get 和 put 进行 限制 。 
PIX 的 管理 通过 Web 来 进行 , 但 使 用 Web 界面 管理 PIX 只 能 进行 简单 的 配置 。 其 日 志和 监 
控 能 力 较 弱 ， 所 有 日 志 必 须 送 到 另 一 台 运 行 syslog 的 机 器 上 。 
3. Check Point FireWall-1 


Check Point 软件 技术 有 限 公 司 成 立 于 1993 年 ， 国 际 总 部 在 以 色 列 的 莱 莫 二 市 ， 美 国 
总 部 位 于 加 利 福 尼 亚 州 红木 城 。 该 公司 是 Internet 安全 领域 的 全 球 领先 企业 ，Check Point 
已 经 成 为 防火 墙 软件 的 代名词 ， 其 推出 并 持 有 专利 的 状态 监测 技术 是 网 络 安全 技术 的 事实 
标准 。 状 态 监 测 可 提供 准确 而 高 效 的 业务 量 监测 ， 并 可 对 应 用 层 的 信息 进行 检查 ， 从 而 提 
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供 最 高 水 平 的 安全 性 。 由 于 状态 监测 无 须 单独 的 代理 来 保证 每 一 项 服务 的 提供 ， 所 以 客户 
能 够 获得 更 高 的 性 能 、 可 伸缩 性 和 业务 能 

Check Point 成 名 的 部 分 原因 归功 于 其 安全 性 开放 式 平台 (Open Platform for Security， 
OPSEC)。OPSEC 联盟 成 立 于 1997 年 ，Check Point 当时 的 想法 是 向 用 户 提供 完整 的 、 能 
在 多 厂商 之 间 进 行 紧密 集成 的 网 络 安全 解决 方案 。 目 前 世界 上 许多 著名 的 大 公司 ， 例 如 
IBM、HP、Cisco、3Com、BAY Networks 等 ， 都 已 经 成 为 OPSEC 的 成 员 ， 而 其 合作 伙伴 
超过 了 300 个 。OPSEC 联盟 分 为 两 大 部 分 : 一 部 分 IT 厂商 提供 集成 的 应 用 程序 ， 即 被 
Check Point OPSEC 认可 的 并 且 与 OPSEC 构架 兼容 的 产品 ; 另 一 部 分 提供 基于 Check Point 
平台 的 安全 服务 , 这 部 分 厂商 向 用 户 提供 基于 Check Point 解决 方案 的 硬 盒子 产品 以 及 互联 
网 设备 和 服务 器 。 

FireWall-1 是 Check Point 众多 网 络 安全 产品 中 最 重要 的 之 一 ， 也 是 业界 领先 的 企业 级 
安全 性 套件 。 它 集成 了 访问 控制 、 用 户 认证 、NAT、VPN、 内 容 安 全 性 、 审 计 和 报告 等 特 
性 。OPSEC 框架 为 FireWall-1 和 许多 第 三 方 安全 应 用 提供 了 集成 能 力 和 企业 级 管理 能 力 。 

FireWall-1 的 基本 模块 有 : 

(1) 状态 检测 模块 (Inspection Module): 提供 访问 控制 、 客 户 机 认证 、 会 话 认证 、 
NAT 和 审计 功能 。 

(2) 防火 墙 模块 (Firewall Module): 包含 一 个 状态 检测 模块 ， 另 外 提供 用 户 认证 、 
内 容 安全 和 多 防火 墙 同 步 功能 。 

(3) 管理 模块 (Management Module ): 对 一 个 或 多 个 安全 策略 执行 点 (安装 了 
FireWall-1 的 某 个 模块 ， 例 如 状态 检测 模块 、 防 火 墙 模 块 或 路 由 器 安全 管理 模块 等 的 系统 ) 
提供 集中 的 、 图 形 化 的 安全 管理 功能 , 一 个 管理 模块 可 以 控制 多 达 50 个 单独 的 FireWall-1。 

FireWall-1 支持 两 个 平台 : UNIX、Windows。FireWall-1 具有 一 种 很 特别 的 结构 ， 称 为 
多 层次 状态 监视 结构 。 这 种 结构 使 FireWall-1 可 以 对 复杂 的 网 络 应 用 软件 进行 快速 支持 。 
也 因为 这 个 功能 ,使 得 Check Point 在 防火 墙 产品 市 场 中 位 居 领 导 地 位 ， 有 很 多 第 三 方 厂商 
对 它 进行 支持 。 而 Check Point 也 提供 了 一 套 API 供 开发 者 使 用 , 以 便 开 发 更 多 的 辅助 工具 。 

4. AXENT Raptor 


Raptor 是 最 优秀 的 代理 型 防火 墙 之 一 。 其 界面 易 读 、 易 操作 ， 在 实时 日 志方 面 ， 仅 次 
于 FireWall-1。Raptor 的 优势 在 于 其 代理 的 深度 和 广度 。 它 提供 对 多 种 操作 系统 服务 器 的 保 
护 ， 还 具有 SQL*NET 代理 功能 ， 可 控制 对 Oracle 数据 库 的 访问 。Raptor 在 SMTP 方面 做 
得 很 好 ， 而 且 它 是 唯一 可 防止 缓存 溢出 的 防火 墙 。 另 外 ， 它 还 可 以 代理 网 络 新 闻 传 输 协议 
NNTP 和 网 络 时 间 协 议 NTP。 

5. CyberGuard Firewall 


CyberGuard Firewall 是 由 CyberGuard 公司 开发 的 ， 其 主要 结构 是 基于 CX/SX 多 层 式 
安全 操作 系统 的 ， 操 作 简 单 ， 很 容易 上 手 。CyberGuard Firewall 与 其 他 防火 墙 产品 不 同 的 
地 方 在 于 ， 它 提供 一 种 可 以 安装 在 防火 墙 上 的 加 密 卡 。 通 过 加 密 卡 ， 可 以 进行 硬件 加 密 ， 
这 对 于 整体 性 能 有 显著 的 提高 。 另 外 ， 它 还 支持 网 络 地址 转换 、Sock、 分 布 式 DNS 等 。 
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6. 东软 NetEye 


于 1991 年 在 东北 大 学 创立 的 东软 集团 是 中 国 领先 的 软件 与 解决 方案 提供 商 。 东 软 
NetEye 防火 墙 基于 专门 的 硬件 平台 ， 使 用 专 有 的 ASIC 芯片 和 专 有 的 操作 系统 ， 基 于 状态 
包 过 滤 的 “ 流 过 滤 ” 体 系 结构 。 围 绕 流 过 滤 平台 ， 东 软 构建 了 网 络 安全 响应 小 组 、 应 用 升 
级 包 开 发 小 组 、 网 络 安全 实验 室 ， 不 仅 带 给 用 户 高 性 能 的 应 用 层 保护 ， 还 包括 新 应 用 的 及 
时 支持 、 特 殊 应 用 的 定制 开发 、 安 全 攻击 事件 的 及 时 响应 等 。 


6.4.3 防火 堵 选 型 举例 


由 于 用 户 数量 、 安 全 要 求 、 功 能 要 求 不 尽 相同 ， 市 场 上 防火 墙 的 售 价 相差 悬殊 ， 从 数 
万 元 到 数 十 万 元 ， 甚 至 到 数 百 万 元 不 等 。 网 络 吞 吐 量 、 丢 包 率 、 延 迟 、 连 接 数 等 都 是 重要 
的 技术 指标 。 质 量 好 的 防火 墙 能 够 有 效 地 控制 通信 ， 能 够 为 不 同 级 别 、 不 同 需求 的 用 户 提 
供 不 同 的 控制 策略 。 控 制 策略 的 有 效 性 、 多 样 性 、 级 别 目标 清晰 性 以 及 制定 难 易 程 度 都 直 
接 反映 出 防火 墙 控制 策略 的 质量 。 

1. 小 型 办 公 和 家 用 网 络 

小 型 、 家 庭 办 公 和 家 用 网 络 (Small Office Home Office，SOHO) 要 管理 的 用 户 和 机 器 
比较 少 ， 而 且 只 需要 访问 极 少量 的 Internet 服务 ， 例 如 电子 邮件 、Web 以 及 有 时 需要 的 流 
媒体 。 在 这 种 情形 下 ， 简 单 的 数据 包 过 滤 防 火 墙 就 足够 了 。 现 在 大 部 分 SOHO 路 由 器 都 具 
有 防火 墙 、VPN、 地 址 映射 、 端 口 映 射 、DHCP 服务 、 自 动 拨号 、 支 持 虚 拟 服务 器 以 及 支 
持 动态 DNS 等 功能 。 

华为 Quidway R1600， 清 华 同 方 TFB-104R+、Linksys、Netgear、D-Link，3Com 等 公 
司 出 品 的 宽带 路 由 器 ， WatchGuard 的 Firebox SOHO, Symantec 的 Norton Personal Firewall、 
NetScreen 以 及 SonicWall SOHO 完全 适用 于 这 种 环境 ; Cisco 和 Check Point 也 提供 小 型 办 
公 室 版 本 的 PIX 和 FireWall-1， 不 过 价格 要 高 一 点 。 


2. 中 小 型 企业 网 络 


中 小 型 企业 以 及 远程 办 公 环 境 需 要 提供 Web 服务 、 电 子 邮 件 、 流 媒体 以 及 文件 传输 和 
终端 访问 。 防 火 墙 较 多 考虑 高 容量 、 高 速度 、 低 延迟 、 高 可 靠 性 以 及 防火 墙 本 身 的 健壮 性 ， 
且 开始 支持 双 机 热 备 份 。 

东软 NetEye、WatchGuard Firebox 和 SonicWall 等 产品 比较 适合 这 种 场合 。 


3. 大 型 网 络 


大 型 企业 、 校 园 网 和 服务 提供 商 面 对 的 是 复杂 的 大 型 环境 ， 拥 有 众多 用 户 并 提供 诸多 
复杂 服务 。 有 些 服 务 看 似 简单 ， 但 实际 上 需要 防火 墙 开放 多 个 端口 服务 。 例 如 ，VoIP 和 
NetMeeting， 这 两 种 服务 都 需要 为 25 种 以 上 的 不 同 服务 开放 端口 。 因 此 在 复杂 的 大 型 环境 
中 ， 应 该 使 用 支持 集中 式 防 火 墙 管理 和 配置 功能 的 防火 墙 。 例 如 ，Cisco PIX、Check Point 
FireWall-1 和 NetScreen 等 。 
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6.5 ”个 人 防火 墙 实例 简介 


6.5.1 个 人 防火 墙 


1. 个 人 防火 墙 的 概念 

现在 网 上 流行 的 个 人 防火 墙 软件 众多 ， 功 能 各 异 。 所 谓 个 人 防火 墙 ， 就 是 指 一 种 能 
保护 个 人 计算 机 系统 安全 、 可 以 直接 在 用 户 计算 机 操作 系统 上 运行 的 软件 。 它 是 应 用 程序 
级 的 ， 使 用 与 状态 检测 防火 墙 相 同 的 方式 来 保护 计算 机 免 受 攻击 。 通 常 这 些 防 火 墙 安 装 在 
计算 机 网 络 接口 的 较 低 级 别 上 ， 使 它们 可 以 监视 通过 网 卡 的 所 有 网 络 通信 。 

一 旦 安装 了 个 人 防火 墙 ， 就 可 以 把 它 设 置 成 “学 习 模 式 ”。 这 样 ， 对 遇 到 的 每 一 种 新 的 
网 络 通信 ， 个 人 防火 墙 都 会 提示 用 户 一 次 ， 询 问 如 何 处 理 这 种 通信 。 然 后 ， 个 人 防火 墙 便 
记 住 了 其 响应 方式 ， 并 应 用 于 以 后 遇 到 的 同 种 网 络 通信 。 例 如 ， 如 果 用 户 已 经 安装 了 一 台 
个 人 Web 服务 器 , 个 人 防火 墙 可 能 将 第 一 个 传 入 的 Web 连接 加 上 标记 ,并 询问 用 户 是 否 允 
许 它 通 过 。 用 户 可 能 允许 所 有 的 Web 连接 、 来 自 某 些 特定 IP 地 址 范围 的 连接 等 ， 个 人 防 
火 墙 就 会 将 这 些 规则 应 用 于 此 后 所 有 传 入 的 Web 连接 。 

可 以 将 个 人 防火 墙 想象 成 在 用 户 计 算 机 上 建立 的 一 个 虚拟 网 络 接口 ， 此 时 已 不 再 是 计 
算 机 操作 系统 直接 通过 网 卡 进行 通信 ， 而 是 操作 系统 与 个 人 防火 墙 的 对 话 ， 它 将 仔细 检查 
网 络 通信 ， 然 后 再 通过 网 卡 进行 通信 。 

2. 个 人 防火 墙 的 优点 

(1) 增加 了 保护 功能 

个 人 防火 墙 具 有 安全 保护 功能 ， 既 可 以 抵挡 外 来 攻击 ， 也 可 以 抵挡 来 自 内 部 的 攻击 。 
例如 ， 家 庭 用 户 使 用 Modem 或 ISDN/ADSL 上 网 , 个 人 防火 墙 就 能 够 为 用 户 隐藏 暴露 在 网 
络 上 的 信息 例如 下 地 址 )。 

(2) 易于 配置 

个 人 防火 墙 产 品 通 常 可 以 使 用 直接 的 配置 选项 获得 基本 配置 。 

(3) 廉价 

个 人 防火 墙 不 需要 额外 的 硬件 资源 就 可 为 内 部 网 的 个 人 用 户 和 公共 网 络 中 的 单个 系统 
提供 安全 保护 。 它 已 被 集成 到 Windows XP 版 本 中 ， 使 用 其 他 版 本 的 Windows 或 其 他 操作 
系统 的 其 他 产品 也 可 以 免费 获得 或 者 按 有 限 的 成 本 价 获得 。 

3 个 人 防火 墙 的 缺点 

(1) 接口 通信 受 限 

个 人 防火 墙 对 公共 网 络 只 有 一 个 物理 接口 ， 而 真正 的 防火 墙 应 当 监 视 并 控制 两 个 或 更 
多 的 网 络 接口 之 间 的 通信 ， 因 此 个 人 防火 墙 本 身 可 能 会 容易 受到 威胁 ， 或 者 说 具有 网 络 通 
信 可 以 绕 过 防火 墙 规则 这 样 的 弱点 。 
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(2) 集中 管理 比较 困难 

个 人 防火 墙 需要 在 每 个 客户 端 进行 配置 ， 这 将 增加 管理 开销 。 

(3) 性 能 限制 

个 人 防火 墙 是 为 了 保护 单个 计算 机 系统 而 设计 的 ， 但 是 如 果 安 装 它 的 计算 机 是 与 内 部 
络 上 的 其 他 计算 机 共享 到 Internet 的 连接 ， 则 它 也 可 以 保护 小 型 网 络 。 

个 人 防火 墙 在 充当 小 型 网 络 路 由 器 时 ， 将 导致 其 性 能 下 降 。 这 种 保护 机 制 通常 不 如 专 
用 防火 墙 方案 有 效 ， 因 为 它 通常 只 限于 阻止 JP 和 端口 地 址 。 


6.5.2 ”瑞星 个 人 版 防火 墙 


3 


相 比 而 言 ， 瑞 星 防 火 墙 在 对 攻击 的 反应 能 力 和 反应 速度 方面 是 比较 领先 的 ， 并 且 能 够 
及 时 有 效 地 升级 和 维护 。 目 前 在 国内 的 防火 墙 产品 中 ， 瑞 星 防火 墙 在 稳定 性 和 防护 性 方面 
都 处 于 领先 地 位 ， 在 国内 得 到 广泛 的 应 用 。 

下 面 就 来 简单 了 解 一 下 这 个 工具 。 

瑞星 个 人 防火 墙 是 由 瑞星 软件 公司 开发 的 ， 供 个 人 计算 机 使 用 的 网 络 安全 防护 工具 。 
它 可 以 保护 网 络 安全 ， 使 网 络 免 受 黑客 攻击 。 

它 采 用 先进 的 监测 技术 ， 能 够 有 效 地 监控 网 络 连接 ， 利 用 内 置 的 、 细 化 的 规则 设置 ， 
使 网 络 保护 更 加 智能 ， 同 时 ， 它 具有 游戏 防盗 、 应 用 程序 保护 等 高 级 功能 ， 可 为 个 人 计算 
机 提供 全 面 的 安全 保护 ， 并 且 ， 通 过 过 滤 不 安全 的 网 络 访问 服务 ， 极 大 地 提高 了 用 户 计 算 
机 的 上 网 安全 性 ， 比 较 彻底 地 阻挡 了 黑客 攻击 、 木 马 程序 等 网 络 威胁 ， 保 护 上 网 账号 、QQ 
密码 、 网 游 账号 等 信息 不 被 窃取 。 


1. 瑞星 个 人 防火 墙 的 安装 

安装 瑞星 个 人 防火 墙 的 具体 步骤 如 下 : 

(1) 下 载 了 瑞星 个 人 防火 墙 的 安装 程序 之 后 ， 直 接 执行 安装 程序 ， 打 开 其 欢迎 界面 ， 
如 图 6-19 所 示 。 


及 璃 星 个 人 防火 墙 下 载 版 [el xj 


欢迎 使 用 瑞星 个 人 防火 墙 安装 向 导 ， 本 向导 梅 正确 引导 悠 安装 瑞星 个 人 防火 墙 . 
强烈 建议 您 在 继续 安装 之 前 关闭 其 它 所 有 正在 运行 的 程序 ， 以 避免 安装 过 程 中 可 
能 产生 的 相互 钟 闪 。 

警告 : 本 程序 受到 版 权 法 及 国际 条 约 的 保护 。 


未 经 授权 复制 或 散发 本 程序 , 或 其 中 的 任何 部 分 ， 都 可 能 会 受到 民法 与 刑法 的 严 
延 ， 并 格 委 到 法 律 允 许 的 景 大 处 罚 。 


单 击 "下 一 步 "继续 安装 ， 单 击 " 职 消 "退出 安装 程序 - 


+-#® | a | mg | 


图 6-19 瑞星 个 人 防火 墙 的 安装 欢迎 界面 


@ 计算 机 网 络 安全 技术 与 应 用 


(2) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “最 终 用 户 许可 协议 ”界面 ， 要 求 用 户 阅读 瑞星 公司 
的 安装 协议 。 当 然 ， 阅 读 完 后 必须 同意 该 条 款 ， 即 选中 “我 接受 ” 单 选 按钮 ， 这 样 才 可 以 
根据 安装 向 导 继续 进行 软件 的 安装 。 单 击 “ 下 一 步 ” 按 钮 ， 如 图 6-20 所 示 。 

(3) 进入 “验证 产品 序列 号 和 用 户 ID” 界 面 ， 在 “产品 序列 号 ”文本 框 中 输入 瑞星 
的 “产品 序列 号 ” 输入 后 在 其 下 面 将 打开 “用 户 ID” 文 本 框 ， 在 此 输入 12 位 的 用 户 ID， 
如 图 6-21 所 示 。 


西 四 站 | 各 瑞星 个 人 防火 培 
最 终 用 户 许 可 协议 验证 产品 序列 号 和 用 户 ID 
在 继续 安装 之 前 ， 请 阅读 下 面 的 重要 信息 - 但 请 得 入 的 产品 序列 号 和 用 户 I。 但 


Ee ， 您 必须 在 继续 安装 之 前 接受 本 协议 。 控 产 序 乔 导 :一 一 一 一 一 一 一 一 一 一 一 一 
a Fw -Fa -as -Fo 


用 PID: 


最 终 用 户主 可 协议 


本 《最终 用 户 许可 协议 》 以 下 称 " 本 协议 ") 是 您 《 自然 人 、 法 人 或 其 他 组 
织 ) 与 瑞星 软件 产品 ( 包括 但 不 限 于 瑞星 杀毒 软 翔 、 瑞 星 个 人 防火 墙 等 ,以 下 
称 ' 本 软件 或- 软件 产品 ) 人 全 全 全 和 让 人 有 本 人 本 (以 f 称 哺 
星 公司 ) 之 间 的 具有 法 律 效 力 的 协议 。 在 你 使 用 本 软件 产品 之 前 ,请 务必 阅 


民 moaeme 


FE TIBULAQ-TOANDE-9F90SF-7TD200 
“Pp 装 璃 星 个 人 防火 墙 


2 如 不 同意 ， 吓人 朋 可 人 和 汪 信 二 基 皇 基地 从 


| 个 我 不 接受 (0) 


Fe) mE mmo | 


5 | www | 
图 6-20 “最 终 用 户 许可 协议 ”界面 图 6-21 “验证 产品 序列 号 和 用 户 ID” 界 面 
(4) 单 击 “ 下 一 步 ” 按钮 , 在 出 现 的 界面 中 选择 安装 方式 。 瑞 星 个 人 防火 墙 提供 了 “全 
部 安装 ”和 “最 小 安装 ”两 种 安装 方式 。 
若 选择 “全 部 安装 ”方式 ， 则 可 以 根据 需要 选择 要 安装 的 其 他 组 件 ， 例 如 瑞星 工具 、 
瑞星 皮肤 资源 等 ， 如 图 6-22 所 示 。 
(5) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “选择 目标 文件 夹 ” 界 面 ， 在 此 选择 要 将 该 软件 安装 
到 什么 位 置 ， 如 图 6-23 所 示 。 一 般 来 说 ， 该 软件 的 默认 安装 路 径 是 C:\Program Files\ 
Rising\Rfw 文件 夹 。 另 外 ， 也 可 以 通过 单 击 右 侧 的 “浏览 ”按钮 ， 来 自行 设 定安 装 的 路 径 。 


俩 瑞星 个 人 防火 培 下 载 版 = el 
定制 安装 选 拓 目 标 文件 
请 此 择 需 要 安装 的 姐 件 但 您 从 备 村 本 软件 安装 列 莉 里 了 但 
[ESsxs A 
全 部 安装 Fe 
了 项 看 个 人防 大 二 Progan FesRengRRw Bi 

由 ”瑞星 多 语言 资源 全 部 安装 方式 ， 需 要 至 少 ey 

由 .加 瑞星 皮肤 资源 3M 硬 熏 宇 本 或 选择 其 它 分 区 ; 

由 回 瑞星 工具 


上 -50 | -sum] _ am | Ri 上 -so |[ Ts se | 


图 6-22 “定制 安装 ”界面 图 6-23 “选择 目标 文件 夹 ”界面 
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(6) 单 击 “ 下 一 步 ”按钮 ， 进 入 “选择 开始 菜单 文件 夹 ”界面 ， 选 择 瑞星 个 人 防火 墙 
在 系统 “开始 ”菜单 中 的 文件 来， 以 便 用 户 可 方便 地 通过 “开始 ”菜单 以 及 桌面 等 位 置 启 


动 防火 墙 ， 如 图 6-24 所 示 。 


(7) 单 击 “ 下 一 步 ”按钮 ， 进 入 “安装 信息 ”界面 ， 其 中 


显示 了 相关 的 安装 信息 ， 用 


户 可 最 后 一 次 检查 安装 信息 是 否 正确 ， 并 确定 在 安装 该 防火 墙 之 前 是 否 对 内 存 进行 病毒 扫 


描 ， 如 图 6-25 所 示 。 


介 璃 星 个 人 防火 培 下 载 版 -jx 
选择 开始 菜单 文件 夹 但 


gl 
安装 信息 回 
安装 程序 准备 完成 Il Ky 


迹 择 您 需要 在 开始 莱 单 文件 夫 中 创建 的 程序 快捷 方式 ， 状 后 单 击 " 下 一 步 "。 


开始 菜单 文件 夹 
情 量 T 和 万 二 下 载 质 


现 有 的 开始 菜单 文件 来 (5) : 


5 a 
卫 放置 瑞星 图 标 到 快速 启动 工具 条 (9) 


TE 如 果 要 修改 信息 ,请 单 击 " 上 一 步 "。 单 击 "下 一 步 " 准 


当前 信息 ; 
迁 棕 目标 文件 天 


CiWProgram Fies\Rising\RfW 
选择 开始 菜单 文 片 赤 
璃 星 个 人 防火 墙 下 载 版 


9 
二 对 
» 


忆 机 扩 行 内 存 病 表 扫 并 他 


上 -5 5 日 取消 CO 
“选择 开始 菜单 文件 夹 ”界面 
(8) 单 击 “ 下 一 
和 安装 ， 如 图 6-26 所 示 。 
(9) 完成 瑞星 
复 选 框 ， 单 击 “ 完 
和 将 会 


图 6-24 


Er 中 
当前 版 本 :19.06.10 


更 新 日 期 :2007-01-16 10:31 但 


个 人 防火 墙 安装 后 ， 进 入 “ 结 
成 ”按钮 ， 如 图 6- 27 所 示 。 
gy 


站 人 防火 墙 下 载 版 = 过 


上 一 步 (p) 下 一 步 册 充 成 取消 (CO) 


图 6-25 “安装 信息 ”界面 


步 ” 按 钮 ， 进 入 “安装 过 程 中 ”界面 ， 此 时 将 进行 防火 墙 文件 的 复制 


| 界面 ， 选 中 “启动 瑞星 个 人 防火 墙 ” 
星 个 人 防火 墙 就 安装 到 了 你 的 计算 机 上 。 


-ol 


结束 但 


文件 复制 中 
| 瑞 里 天 用 库 (ovenRrw) 


瑞星 个 人 防火 雯 已 经 成 功 安装 到 您 的 计算 机 中 。 


| 回 启动 瑞星 个 人 防火 墙 


CE ao | Ped 
“安装 过 程 中 ”界面 

2. 瑞星 个 人 防火 墙 的 卸载 

瑞星 个 人 防火 墙 提供 了 自动 卸载 程序 


图 6-26 


司 J 


图 6-27 “结束 ”界面 


印 载 过 程 如 下 。 


@ 计算 机 网 络 安全 技术 与 应 用 


(1) 单 击 “ 开 始 ” 按 钮 ， 在 弹出 的 菜单 中 选择 “程序 ”命令 ， 找 到 瑞星 防火 墙 软件 的 
安装 目录 ， 选 择 “ 添 加 删除 组 件 ” 命 令 ， 如 图 6-28 所 示 。 

(2) 打开 “瑞星 软件 维护 模式 选项 ”界面 ， 选 中 “ 伯 载 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 
按钮 ， 如 图 6-29 所 示 ， 即 可 完成 瑞星 个 人 防火 墙 的 外 载 。 


[aeTANXSTER 
璃 星 软件 锥 护 模式 选项 但 


瑞星 软件 维护 模式 选项 
人 添加 各 (6) 

但 根据 次 的 需要 ,添加 或 手 除 产品 的 可 选 组 件 
个 修复 (R) 

但 为 了 修复 产品 ， 重 新 安装 当前 已 安装 的 组 件 


c 


rE 


() 
但 从 计算 机 中 着 乾 本 产品 
名 瑞星 个 人 防火 墙 


RE | _ ww | 
图 6-28 选择 “添加 删除 组 件 ” 命 令 图 6-29 “瑞星 软件 维护 模式 选项 ”界面 


当然 ， 也 可 以 通过 控制 面板 中 的 “添加 或 删除 程序 ”功能 来 进行 卸载 。 
3. 瑞星 个 人 防火 墙 的 使 用 与 设置 


双击 任务 栏 右 下 角 的 瑞星 个 人 防火 墙 图 标 ， 打 开 其 工作 界面 ， 如 图 6-30 所 示 。 其 菜单 
栏 中 包括 以 下 3 个 菜单 项 : 


系统 状态 
系统 工作 于 常规 模式 ,访问 规则 中 没有 规定 动作 的 程序 在 访问 网 络 时 ， 会 提示 用 户 。 


「 受 攻 击 信息 
系统 局 动 以 来 ， 还 没有 发 现 对 系统 的 攻击 。 


[P Wir [2 


当前 活动 程序 习 渤 世 习 习习 习习 计 四 习 
系 4 蝴 洞 信息 修 的 系统 目前 存在 3 个 漏洞 ，6 个 不 安全 设置 


接收 9]x 接收 字数 
发 送 [可 , 


当前 版 本 : 19.06. 10 更 新 日 期 : 2007-01-16 


图 6-30 瑞星 个 人 防火 墙 工 作 界面 
(1) 操作 
单 击 该 菜单 项 ， 在 弹出 的 下 拉 菜 单 中 可 以 看 到 包含 有 “停止 保护 ”“ 断 开 网 络 ”“ 切 
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换 工作 模式 ”“ 工 作 日 志 ” “扫描 木马 病毒 ””“ 智 能 升级 ”以 及 “退出 ” 几 个 子 菜单 ， 可 
以 实现 瑞星 个 人 防火 墙 的 基本 操作 。 

(2) 设置 

单 击 该 菜单 项 ， 在 弹出 的 下 拉 菜 单 中 可 以 看 到 包含 有 “详细 设置 “密码 保护 和 “外 
观 选 择 ” “设置 网 络 ” 和 “设置 用 户 ID ”等 几 个 子 菜单 。 

其 中 ,“ 详 细 设 置 ” 是 配置 防火 墙 策 略 的 主要 工具 。 下 面 将 具体 介绍 设置 的 内 容 。 

选择 人 命令 后 ， 将 出 现 如 图 6-31 所 示 的 “详细 设置 ”对 话 框 。 


主旨 设置 
对 他 二 四 加 系 志 和 项 
[和 局 动 方式 : [ 目 动 了 规则 网 序 : [ 态 辣 琐 则 优先 
中 回忆 用 声音 报警 回 状 者 通 知 
| es Ee in EE3 
| -EE | 6 地 记录 和 类 em 
加 TP 规则 回 修订 规则 回 系 统 动作 回 修改 配置 
| CE wa 回 修订 规则 
白 -加 | 网 站 访问 规则 回 药 止 应 用 回 清除 不 马 病 过 更 多 设置 | 
[a We 不 在 访问 规则 中 的 程序 访问 网 络 的 默认 动作 
屏保 模式 : ”| 自动 拒绝 | 未 登录 模式 :| 放行 了 
铅 定 模式 : | 目 动 拒绝 了 帮 黑 模式 : | 目 动 拒绝 
交易 模式 : ”| 自动 拒绝 v 密码 保护 模式 : [ 目 动 拒绝 。 
区 WW 0 全 和 
人 上 -页 只 下 -页 | EI 加 帮助 


图 6-31 “详细 设置 ”对 话 框 


@ 选项 
选项 共有 两 个 可 选 内 容 ， 分 别 是 “普通 ”选项 与 “高 级 ”选项 。 
在 “普通 ”选项 中 ， 可 设置 该 系统 的 启动 方式 、 匹 配 规则 时 所 采用 的 顺序 、 记 录 哪些 
动作 到 日 志 中 以 及 对 不 在 规则 中 的 访问 所 采取 的 默认 动作 。 
在 “高 级 ”选项 中 可 进一步 对 防火 墙 的 安全 、 提 示 时 间 、 漏 洞 扫描 时 间 等 进行 设置 。 
@ 规则 设置 
规则 设置 用 来 配置 防火 墙 的 过 滤 规 则 。 其 中 包括 : 
@ ” 黑 名 单 : 用 于 禁止 该 区 域 中 的 计算 机 与 本 机 通信 ， 例 如 曾 攻击 过 本 机 的 计算 机 可 
加 入 此 区 域 。 
白 名 单 : 完全 信任 的 计算 机 可 加 入 此 区 域 ， 例 如 VPN 服务 器 。 
端口 开关 : 可 用 手工 控制 ， 端 口 是 否 可 以 通信 。 
可 信 区 : 指定 局 域 网 计算 机 的 卫 ， 默 认 对 方 计算 机 不 在 此 区 域 中 。 
卫 规则 : 定义 在 全 层 进行 过 滤 的 规则 。 
@ 访问 规则 : 在 本 机 中 访问 网 络 中 程序 的 过 滤 规 则 。 
@ 网 站 访问 规则 
用 于 设置 监视 的 端口 (例如 端口 80、88、82)， 并 将 访问 这 些 端 口 的 网 站 加 入 到 黑 名 


@ 计算 机 网 络 安全 技术 与 应 用 


单 或 白 名 单 中 去 。 

(3) 帮助 

和 其 他 应 用 程序 的 “帮助 ”菜单 一 样 ， 都 是 为 了 帮助 用 户 更 好 地 使 用 瑞星 个 人 防火 墙 。 

4. 选项 卡 介 绍 

瑞星 个 人 防火 墙 提供 了 6 个 不 同 的 选项 卡 ， 方 便 用 户 了 解 相关 的 安全 信息 。 

(1) 工作 状态 

提供 防火 墙 的 工作 状态 〈 例 如 ， 防 火 墙 过 期 了 ， 就 会 在 系统 状态 栏 中 显示 )， 并 在 此 显 
示 相 关 的 受 攻击 信息 、 当 前 的 活动 程序 、 系 统 存在 的 漏洞 和 不 安全 设置 等 提示 。 

(2) 系统 状态 

显示 当前 系统 所 监视 的 程序 。 

(3) 启动 选项 
于 显示 系统 启动 和 登录 时 自动 运行 程序 的 信息 ， 这 些 程序 可 能 是 系统 启动 菜单 中 的 
程序 、 注 册 表 中 的 Run、RunOnce 和 其 他 的 一 些 键 值 。 

如 果 在 下 次 启动 时 不 想 运行 某 些 程序 ， 可 以 禁止 或 删除 这 些 程序 。 

(4) 密码 保护 

受 保护 的 一 些 程序 被 其 他 的 应 用 程序 访问 时 ， 将 被 禁止 。 

若 要 允许 信任 的 模块 访问 被 保护 进程 ， 需 要 将 指定 模块 添加 到 信任 模块 列表 中 去 。 

其 规则 和 信任 模块 等 ， 都 在 该 选项 卡 中 设 定 。 

(5) 漏洞 扫描 

扫描 ， 并 将 发 现 的 安全 漏洞 等 信息 以 报告 的 形式 显现 出 来 。 

(6) 安全 资讯 

列 出 当前 整个 互联 网 中 新 的 安全 动态 ， 以 及 瑞星 公司 的 最 新 安全 举措 。 

5. 瑞星 个 人 防火 墙 的 升级 

随 着 网 络 环境 的 不 断 变化 , 任何 网 络 安全 产品 要 实现 对 系统 的 保护 ,就 必须 定期 升级 。 

可 以 直接 单 击 工作 界面 中 的 “智能 升级 ”按钮 > ， 或 选择 “操作 ”/“ 智 能 升级 ” 命 
令 ， 来 对 瑞星 个 人 防火 墙 进行 升级 。 在 升级 过 程 中 ， 将 自动 对 瑞星 个 人 防火 墙 进行 最 新 版 
本 的 搜索 ， 出 现 如 图 6-32 所 示 的 升级 界面 ， 直 至 升级 完成 。 


略 能 升级 正在 进行 


图 6-32 ”瑞星 个 人 防火 墙 升级 界面 
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防火 墙 通常 是 指 设置 在 不 同 网 络 〈 例 如 可 信任 的 内 部 网 络 和 不 可 信任 的 外 部 网 络 ) 或 
网 络 安全 域 之 间 的 一 系列 部 件 的 组 合 。 它 是 一 种 必 不 可 少 的 安全 增长 点 ， 是 设置 在 被 保护 
网 络 和 外 部 网 络 之 间 的 一 道 屏障 ， 也 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入 口 ， 能 
根据 网 络 安 全 策略 控制 (允许 、 拒 绝 、 监 测 ) 出 入 网 络 的 信息 流 ， 且 本 身 具 有 较 强 的 抗 攻 
击 能 力 。 它 是 提供 信息 安全 服务 、 实 现 网 络 和 信息 安全 的 基础 和 核心 控制 设备 ， 能 够 有 效 
地 监控 内 部 网 和 互联 网 之 间 的 任何 活动 ， 防 止 发 生 不 可 预测 的 、 潜 在 破坏 性 的 侵入 ， 从 而 
保证 内 部 网 络 的 安全 。 

防火 墙 的 功能 主要 体现 在 : 它 是 网 络 安全 的 屏障 、 可 以 强化 网 络 安全 策略 、 对 网 络 存 
取 和 访问 进行 监控 审计 以 及 防止 内 部 信息 的 外 泄 4 方面 。 

防火 墙 也 有 其 局 限 性 ， 它 不 是 解决 所 有 网 络 安全 问题 的 万 能 药方 ， 而 只 是 网 络 安全 策 
略 中 的 一 个 组 成 部 分 。 

防火 墙 有 多 种 不 同 的 分 类 方法 : 根据 采用 的 技术 不 同 ， 可 分 为 包 过 滤 防 火 墙 和 代理 服 
务 器 防火 墙 ， 按 照应 用 对 象 的 不 同 ， 可 分 为 企业 级 防火 墙 与 个 人 防火 墙 ， 依 据 实现 的 方法 
不 同 ， 又 可 分 为 软件 防火 墙 、 硬 件 防火 墙 和 专用 防火 墙 。 

包 过 滤 是 防火 墙 为 系统 提供 安全 保障 的 主要 技术 ， 它 依据 系统 内 设置 的 访问 控制 表 
在 网 络 层 对 进出 网 络 的 数据 包 进 行 有 选择 的 控制 与 操作 。 包 过 滤 操 作 一 般 都 是 在 选择 路 由 
的 同时 ， 在 网 络 层 对 数据 包 进行 选择 或 过 滤 。 

包 过 滤 防 火 墙 巡 辑 简单 、 价 格 便宜 、 易 于 安装 和 使 用 、 网 络 性 能 和 透明 性 好 ， 通 常安 
装 在 路 由 器 上 , 而 路 由 器 是 内 部 网 络 与 Internet 连接 必 不 可 少 的 设备 ,因此 在 原 有 网 络 上 增 
加 这 样 的 防火 墙 儿 乎 不 需要 任何 额外 的 费用 。 

包 过 滤 的 缺点 是 安全 性 较 差 、 一 些 应 用 协议 不 适用 包 过 滤 防 火 墙 、 正 常 的 数据 包 过 滤 
路 由 器 无 法 执行 某 些 安全 策略 、 不 能 彻底 防止 地 址 欺骗 和 数据 包工 具 存 在 很 多 局 限 性 等 。 

代理 服务 器 是 运行 在 防火 墙 主机 上 的 一 些 特定 的 应 用 程序 或 者 服务 程序 ， 它 们 代表 客 
户 在 服务 器 端 进行 连接 请 求 。 当 代理 服务 器 收 到 一 个 客户 的 连接 请 求 时 ， 它 将 核实 客户 请 
求 ， 并 用 特定 的 安全 化 的 代理 应 用 程序 来 处 理 连接 请 求 ， 并 将 处 理 后 的 请 求 传递 到 真实 的 
服务 器 上 ， 然 后 接收 服务 器 应 答 ， 并 作 进一步 处 理 后 ， 将 答复 交 给 发 出 请 求 的 最 终 客户 。 
代理 服务 器 在 外 部 网 络 向 内 部 网 络 申请 服务 时 发 挥 了 中 间 转 接 和 隔离 内 、 外 部 网 络 的 作用 ， 
所 以 又 称 为 代理 防火 墙 。 

代理 防火 墙 分 为 应 用 层 网 关 和 电路 级 网 关 两 类 。 

应 用 层 网 关 防 火 墙 是 传统 代理 型 防火 墙 ， 在 网 络 应 用 层 上 建立 协议 过 滤 和 转发 功能 。 
它 针对 特定 的 网 络 应 用 服务 协议 使 用 指定 的 数据 过 滤 逻 辑 ， 并 在 过 滤 的 同时 对 数据 包 进行 
必要 的 分 析 、 登 记 和 统计 ， 形 成 报告 。 

应 用 层 网 关 防 火 墙 最 突出 的 优点 就 是 安全 ， 最 大 缺点 就 是 速度 相对 比较 慢 。 
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电路 级 网 关 是 建立 应 用 层 网 关 的 一 种 更 加 灵活 的 方法 ， 是 针对 包 过 滤 和 应 用 层 网 关 技 
术 存 在 的 缺点 而 引入 的 防火 墙 技 术 。 电 路 级 网 关 通 过 在 TCP 3 次 握手 建立 连接 的 过 程 中 ， 
检查 双方 的 SYN、ASK 和 序列 号 是 否 符合 逻辑 ， 来 判断 该 请 求 的 会 话 是 否 合法 。 一旦 网 关 
认为 会 话 是 合法 的 ， 就 为 双方 建立 连接 ， 并 维护 一 张 合 法 会 话 连接 表 ， 当 会 话 信息 与 表 中 
的 条 目 匹 配 时 才 允 许 数据 通过 ， 会 话 结束 后 ， 表 中 的 条 目 就 被 删除 。 

代理 技术 具有 代理 易于 配置 、 代 理 能 生成 各 项 记录 、 代 理 能 灵活 并 且 完 全 地 控制 进出 
流量 和 内 容 、 代 理 能 过 滤 数 据 内 容 、 代 理 能 为 用 户 提供 透明 的 加 密 机 制 、 代 理 可 以 方便 地 
与 其 他 安全 手段 集成 等 优点 。 

代理 技术 具有 代理 速度 较 路 由 器 慢 、 代 理 对 用 户 不 透明 、 对 于 每 项 服务 代理 可 能 要 求 
不 同 的 服务 器 、 代 理 服务 不 能 保证 免 受 所 有 协议 弱点 的 限制 和 代理 不 能 改进 底层 协议 的 安 
全 性 等 缺点 。 

单纯 的 包 过 滤 技 术 简单 地 查看 每 一 个 单一 的 输入 包 信 息 ， 而 状态 包 检 测 模式 则 增加 了 
更 多 的 包 和 包 之 间 的 安全 上 下 文 检查 ， 以 达到 与 应 用 级 代理 防火 墙 相 类 似 的 安全 性 能 。 状 
态 包 检 测 防 火 墙 在 网 络 层 拦截 输入 包 ， 并 利用 足够 的 企图 连接 的 状态 信息 作出 决策 。 

自 适应 代理 技术 是 较 新 的 一 种 防火 墙 设计 ， 它 将 代理 服务 技术 和 状态 包 检 测 技术 结合 
在 一 起 。 其 基本 的 安全 检测 仍 在 应 用 层 进行 , 但 一 旦 安全 检测 代理 明确 了 会 话 的 所 有 细节 ， 
那么 其 后 的 数据 包 就 可 以 直接 经 过 速度 更 快 的 网 络 层 。 因 此 ， 自 适应 代理 防火 墙 基本 上 和 
标准 代理 服务 防火 墙 一 样 安全 ， 并 且 比 状态 包 检 测 有 更 快 的 性 能 。 

目前 ， 防 火 墙 的 体系 结构 一 般 有 屏蔽 路 由 器 体系 结构 、 双 重 宿主 主机 体系 结构 、 屏 蔽 
主机 体系 结构 和 屏蔽 子 网 体系 结构 4 种 。 

屏蔽 路 由 器 是 最 简单 也 是 最 常见 的 防火 墙 ， 它 除了 有 共有 路 由 功能 外 ， 可 安装 包 过 滤 软 
件 ， 利 用 包 过 滤 规 则 完成 基本 的 防火 墙 功能 。 

双重 宿主 主机 体系 结构 是 围绕 具有 双重 宿主 的 堡 公主 机 构筑 的 ， 它 分 别 连接 到 因特网 
和 内 部 网 络 ， 并 且 位 于 两 者 之 间 。 防 火 墙 内 部 的 系统 能 与 双重 宿主 主机 通信 ， 同 时 防火 墙 
外 部 的 系统 〈 在 因特网 上 ) 也 能 与 双重 宿主 主机 通信 ， 但 是 这 些 系统 之 间 不 能 直接 互相 通 
言 ， 它 们 之 间 的 卫 通信 被 完全 阻止 。 

屏蔽 主机 网 关 由 屏蔽 路 由 器 和 应 用 网 关 组 成 ， 屏 蔽 路 由 器 的 作用 是 包 过 滤 ， 应 用 网 关 
的 作用 是 代理 服务 ， 即 在 内 部 网 络 和 外 部 网 络 之 间 建 立 了 两 道 安 全 屏障 ， 既 实现 了 网 络 层 
安全 ( 包 过 滤 )， 又 实现 了 应 用 层 安全 (代理 服务 )。 

屏蔽 子 网 防火 墙 是 在 屏蔽 主机 网 关 防 火 墙 的 基础 上 再 加 一 个 路 由 器 ， 两 个 屏蔽 路 由 器 
放 在 子 网 的 两 端 ， 形 成 一 个 隔离 区 。 内 部 网 络 和 外 部 网 络 均 可 访问 被 屏蔽 子 网 ， 但 禁止 它 
们 穿 过 被 屏蔽 子 网 进行 通信 。 

搭建 防火 墙 时 , 一 般 很 少 采 用 单一 的 技术 ,通常 采用 解决 不 同 问题 的 多 种 技术 的 组 合 。 
例如 ， 采 用 多 煲 垒 主机 、 合 并 内 部 路 由 器 和 外 部 路 由 器 、 合 并 煲 垒 主机 和 外 部 路 由 器 、 合 
并 堡垒 主机 和 内 部 路 由 器 、 使 用 多 台 外 部 路 由 器 、 使 用 多 个 周边 网 络 等 组 合体 系 结构 。 

选 购 防火 墙 产品 时 ， 用 户 首先 需要 了 解 一 个 防火 墙 系统 应 具备 的 基本 功能 ， 其 次 ， 选 
购 防火 墙 的 时 候 主要 应 该 考虑 安全 性 、 高 效 性 、 适 用 性 、 可 管理 性 和 售后 服务 体系 等 因素 。 
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个 人 防火 墙 是 一 种 能 够 保护 个 人 计算 机 系统 安全 、 可 以 直接 在 用 户 计算 机 操作 系统 上 
运行 的 软件 。 它 使 用 与 状态 检测 防火 墙 相同 的 方式 ， 来 保护 计算 机 免 受 攻击 。 通 常 这 些 防 
火 墙 安装 在 计算 机 网 络 接口 的 较 低 级 别 上 ， 使 它们 可 以 监视 通过 网 卡 的 所 有 网 络 通信 。 

个 人 防火 墙 具 有 增加 了 保护 功能 、 易 于 配置 和 廉价 等 优点 ， 而 接口 通信 受 限 、 集 中 管 
理 比较 困难 和 性 能 限制 是 其 主要 缺点 。 
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练习 与 思考 


什么 是 防火 墙 ? 简 述 防火 墙 工作 原理 。 

简 述 防火 墙 的 发 展 历史 。 

设置 防火 墙 的 目的 是 什么 ? 防火 墙 的 局 限 性 是 什么 ? 

简 述 防火 墙 的 发 展 动态 和 趋势 。 

防火 墙 的 主要 技术 及 实现 方式 有 哪些 ? 

试 述 包 过 滤 防 火 墙 的 原理 、 特 点 及 其 优 、 缺 点 。 

试 述 代理 防火 墙 的 原理 及 特点 。 应 用 层 网 关 和 电路 级 网 关 有 什么 区 别 ? 
试 比较 包 过 滤 防 火 墙 和 代理 防火 墙 的 不 同 之 处 。 

试 述 状态 检测 和 自 适应 代理 防火 墙 的 原理 及 特点 。 


. 防火墙 的 体系 结构 有 哪些 ? 试 述 各 种 防火 墙 体系 结构 的 优 缺点 。 
. 屏蔽 路 由 器 的 优 缺 点 是 什么 ? 为 什么 堡 侄 主机 不 能 有 了 P 转发 功能 ? 
12. 
. 组 合体 系 结构 都 有 哪些 形式 ? 
.防火 墙 产品 的 选 购 策略 有 哪些 ? 


屏蔽 路 由 器 防火 墙 和 屏蔽 主机 防火 墙 各 是 如 何 实现 的 ? 


Check Point FireWall-1 可 以 提供 什么 基本 模块 ? 它 成 功 的 部 分 原因 是 什么 ? 


.Cisco PIX Firewall 的 特点 是 什么 ? 
. 个 人 防火 墙 有 什么 特点 ? 


和 计算 机 病毒 防治 


本 章 学 习 要 求 : 

(1) 了 解 计算 机 病毒 的 基本 概念 、 发 展 、 特 点 、 分 类 、 危 害 。 
(2) 掌握 计算 机 病毒 的 工作 机 理 。 

(3) 了 解 恶意 代码 的 分 类 及 其 特点 。 

(4) 了 解 木 马 的 基本 概念 、 特 点 、 工 作 过 程 、 危 害 。 

(5) 掌握 木马 的 检测 和 清除 以 及 预防 方法 。 

(6) 了 解 蠕虫 的 基本 概念 、 分 类 、 特 点 、 和 危害 。 

(7) 掌握 蠕虫 的 基本 结构 、 传 播 方式 及 其 防范 措施 。 

(8) 熟悉 计算 机 病毒 的 传播 途径 和 防治 管理 措施 。 

(9) 了 解 预防 计算 机 病毒 应 注意 的 问题 。 

(10) 掌握 计算 机 病毒 的 检测 和 清除 方法 。 

(11) 熟悉 常用 计算 机 病毒 防治 软件 的 名 称 及 其 特点 。 

(12) 掌握 瑞星 杀毒 软件 的 安装 、 印 载 、 菜 单 功 能 、 使 用 和 升级 方法 。 
(13) 掌握 计算 机 网 络 病毒 、 宏 病毒 的 检测 和 清除 方法 。 
(14) 了 解 计算 机 病毒 的 现状 和 发 展 趋势 。 


重点 和 难点 : 
(1) 重点 : 计算 机 病毒 的 工作 机 理 ， 木 马 的 检测 和 清除 以 及 预防 方法 ; 蠕虫 的 基本 结 


构 、 传 播 方式 及 其 防范 措施 ; 计算 机 病毒 的 检测 和 清除 方法 ; 瑞星 杀毒 软件 的 安装 、 印 载 、 
菜单 功能 、 使 用 和 升级 方法 ; 计算 机 网 络 病毒 、 宏 病毒 的 检测 和 清除 方法 。 

(2) 难点 : 计算 机 病毒 的 检测 和 清除 方法 ， 计 算 机 网 络 病 毒 、 宏 病毒 的 检测 和 清除 
方法 。 


相信 大 家 对 计算 机 病毒 都 不 会 感到 陌生 ， 凡 是 用 过 计算 机 的 人 ,几乎 都 和 它 打 过 交道 ， 
而 其 中 被 计算 机 病毒 搞 得 焦头烂额 ， 对 其 恨 之 入 骨 的 人 也 不 在 少数 。 这 也 从 一 个 侧面 说 明 
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计算 机 病毒 的 危害 之 深 ,作恶 范围 之 广 。 对 计算 机 病毒 的 防治 一 直 是 有 关 专 家 的 研究 课题 ， 
但 在 计算 机 病毒 与 防治 病毒 的 战争 中 ， 正 义 的 一 方 并 没有 占据 明显 的 优势 。 

计算 机 病毒 对 安全 的 危害 随 着 互联 网 的 发 展 而 逐渐 升级 。 在 以 前 的 主机 时 代 ， 由 于 计 
算 机 独立 工作 ， 当 时 的 数据 共享 主要 是 通过 软盘 进行 ， 因 此 病毒 的 传播 也 局 限 在 很 小 的 范 
围 内 ， 而 且 病毒 防治 工作 也 很 简单 ， 只 要 密切 注意 软盘 复制 即 可 。 然 而 到 了 网 络 时 代 ， 随 
着 Intemet 的 普及 , 越 来 越 多 的 计算 机 连接 到 互联 网 上 , 计算 机 病毒 制造 者 开始 将 互联 网 作 
为 计算 机 病毒 的 主要 传播 载体 。 前 儿 年 的 “冲击 波 ” 和 “震荡 波 ” 病 毒 充分 利用 了 互联 网 
的 特点 ， 在 短 短 儿 天 之 内 就 造成 了 全 球 范围 的 病毒 事件 。 

因此 ， 互 联网 的 发 展 给 计算 机 病毒 防治 工作 带 来 了 很 大 的 难度 。 但 是 任何 事情 都 有 两 
面 性 ， 互 联网 也 成 为 了 防 病毒 厂商 、 安 全 团体 及 时 发 布 消息 的 主要 途径 ， 而 且 绝 大 多 数 防 
病毒 软件 都 可 以 通过 互联 网 对 病毒 库 和 防 病毒 程序 进行 在 线 升 级 。 

随 着 计算 机 病毒 的 危害 性 日 益 被 人 们 所 认识 ， 以 及 病毒 研制 技术 的 不 断 提高 ， 计 算 机 
病毒 已 被 越 来 越 多 地 应 用 于 特殊 目的 。 例 如 ， 某 些 组 织 或 个 人 将 其 用 于 军事 目的 ， 通 过 预 
先 在 敌 方 的 指挥 或 控制 系统 中 植 入 病毒 ， 达 到 扰乱 和 破坏 的 目的 。 有 专家 认为 ， 随 着 人 们 
对 计算 机 和 网 络 的 依赖 程度 越 来 越 高 ， 计 算 机 病毒 可 能 成 为 恐怖 分 子 实施 恐怖 袭击 的 有 力 
工具 。 

本 章 将 从 计算 机 病毒 的 概念 、 发 展 、 和 危害 及 其 特点 等 方面 谈 起 ， 介 绍 计算 机 病毒 的 分 
类 ， 并 结合 具体 的 例子 介绍 恶意 代码 、 计 算 机 病毒 尤其 是 典型 计算 机 病毒 的 检测 与 清除 。 
最 后 ， 简 单 回顾 计算 机 病毒 的 现状 和 发 展 趋势 。 


7.1 计算 机 病毒 的 特点 与 分 类 


7.1.1 计算 机 病毒 的 概念 


从 广义 上 讲 ， 凡 是 能 够 引起 计算 机 故障 ， 破 坏 计算 机 数据 的 程序 统称 为 计算 机 病毒 。 
依据 此 定义 ， 诸 如 “逻辑 炸弹 “蠕虫 ”等 均 可 称 为 计算 机 病毒 。 在 国内 ， 专 家 和 研究 者 
们 曾 对 计算 机 病毒 作 过 多 种 不 尽 相同 的 定义 ， 但 一 直 没 有 公认 的 明确 定义 。 

最 早 使 用 “计算 机 病毒 ”一 词 的 美国 计算 机 病毒 研究 专家 F.Cohen 博士 对 计算 机 病毒 
的 定义 是 : 计算 机 病毒 是 一 种 能 够 通过 修改 程序 ， 并 把 自己 的 复制 品 包括 在 内 去 感染 其 他 
程序 的 程序 。 或 者 说 : 计算 机 病毒 是 一 种 在 计算 机 系统 运行 过 程 中 能 把 自己 精确 复制 或 有 
修改 地 复制 到 其 他 程序 体 中 的 程序 。 

1994 年 2 月 18 日 ， 我 国正 式 颁布 实施 了 《中 华人 民 共和 国 计 算 机 信息 系统 安全 保护 
条 例 》， 在 《条 例 》 第 二 十 八条 中 明确 指出 :“ 计 算 机 病毒 ， 是 指 编制 或 者 在 计算 机 程序 中 
插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 响 计 算 机 使 用 并 能 自我 复制 的 一 组 计算 机 指令 或 
者 程序 代码 。” 此 定义 具有 法 律 效 力 和 权威 性 。 

“计算 机 病毒 ”这 一 名 词 来 源 于 它们 的 生物 学 同类 ， 它 具有 与 生物 病毒 相似 的 行为 特 
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性 。 计 算 机 病毒 能 够 在 计算 机 内 部 反复 地 自我 繁殖 和 扩散 ， 危 及 计算 机 系统 或 网 络 的 正常 
工作 ， 造 成 种 种 不 良 后 果 ， 最 终 可 能 使 计算 机 系统 或 网 络 发 生 故 障 以 至 瘫痪 。 这 种 现象 与 
生物 界 病毒 在 生物 体内 部 繁殖 ,相互 传染 , 最 终 引 起 生物 体 致 病 甚至 死亡 的 过 程 极为 类 似 ， 
所 以 人 们 把 它 形象 地 称 为 “计算 机 病毒 ”。 

计算 机 病毒 赖 以 生存 的 基础 是 现代 计算 机 都 具有 相同 的 工作 原理 和 操作 系统 的 脆弱 
性 ， 以 及 网 络 协议 中 的 安全 漏洞 。 特 别 是 在 个 人 计算 机 中 ， 系 统 的 基本 控制 功能 对 用 户 是 
公开 的 ， 可 以 通过 调用 和 修改 系统 的 中 断 ， 取 得 对 系统 的 控制 权 ， 从 而 对 系统 程序 和 其 他 
程序 进行 任意 处 理 。 正 是 在 此 基础 上 ， 一 些 计算 机 专业 人 员 出 于 开玩笑 、 炫 炊 技 术 水 平和 
惩罚 复制 等 原因 ， 研 制 了 一 些 病毒 程序 ， 从 而 使 病毒 程序 不 断 草 延 ， 所 造成 的 后 果 和 恐怕 也 
是 这 些 人 当初 始 料 不 及 的 。 


7.1.2 计算 机 病毒 的 发 展 


计算 机 病毒 是 伴随 着 计算 机 的 发 展 而 不 断 发 展 变化 的 。 

对 计算 机 病毒 的 讨论 开始 于 20 世纪 40 年 代 ， 当 时 已 有 人 注意 到 程序 可 以 编制 成 自我 
复制 并 增加 自身 大 小 的 形式 ， 但 这 些 讨论 只 是 理论 性 的 。 

50 年 代 , 美国 电报 电话 公司 贝尔 实验 室 的 一 些 科 学 家 开始 用 一 种 称 为 “核心 大 战 (Core 
War)” 的 计算 机 代码 游戏 进行 实验 。 这 和 群 年 轻 的 研究 人 员 常 常 在 做 完工 作 后 留 在 实验 室 里 
饶 有 兴趣 地 玩 一 种 他 们 自己 创造 的 计算 机 游戏 “达尔 文 ” 即 每 个 人 编写 一 段 小 程序 ， 
输入 到 计算 机 中 运行 ， 互 相 展开 攻击 并 设法 毁灭 他 人 的 程序 。 这 种 程序 就 是 计算 机 病毒 的 
骏 形 ， 然 而 当时 人 们 并 没有 意识 到 这 一 点 。 

60 年 代 ， 有 人 开发 了 一 种 称 为 “生存 〈Living)” 的 软件 ， 它 可 以 进行 自我 复制 。 由 此 
创造 病毒 类 程序 的 挑战 开始 在 学 术 、 研 究 界 流行 开 来 ， 但 这 些 病 毒 的 作者 通常 只 是 用 它们 
开 一 些 无 关 痛 痒 的 小 玩笑 。 

70 年 代 ， 计 算 机 黑客 们 对 这 类 程序 的 研究 有 了 很 大 的 进展 ， 但 很 少 有 真正 的 病毒 攻击 
报道 。1975 年 ， 美 国 科 普 作 家 John Bruner 在 他 名 为 《震荡 波 骑士 》(Shockwave Rider) 的 
科幻 小 说 中 ， 第 一 次 使 用 了 “计算 机 病毒 ”这 个 名 词 。 

80 年 代 ， 随 着 PC 机 的 日 益 普及 ,病毒 对 计算 机 系统 的 巨大 威胁 开始 出 现在 公众 面前 。 
真正 意义 上 的 “计算 机 病毒 ”出 现 于 1981 年 ， 病 毒 Elk Cloner 驻 留 在 磁盘 的 引导 扇 区 上 ， 
通过 磁盘 进行 感染 。 由 于 该 病毒 只 是 关 掉 显 示 器 ， 让 显示 的 文本 闪烁 或 显示 一 大 堆 无 意义 
的 信息 ， 并 没有 造成 较 大 的 破坏 ， 所 以 当时 没有 引起 足够 的 关注 。 

最 早 被 记录 下 来 的 病毒 之 一 是 美国 南 加 州 大 学 的 学 生 Fred Cohen 于 1983 年 编写 的 。 
当 该 程序 安装 到 硬盘 之 后 ， 就 可 以 对 自己 进行 复制 和 扩展 ， 使 计算 机 “自我 破坏 ”。 同 年 
11 月 3 日 召开 的 计算 机 安全 学 术 讨论 会 上 ， 美 国 计 算 机 安全 专家 科恩 (Frederick Cohen) 
博士 首次 提出 了 “计算 机 病毒 ”的 概念 ， 随 后 获准 进行 实验 演示 。 专 家 们 在 运行 UNIX 操 
作 系 统 的 VAX11/750 计算 机 系统 上 进行 了 5 次 病毒 试验 ， 结 果 表 明 病 毒 平均 30 分 钟 就 可 
使 计算 机 系统 瘫痪 ， 从 而 确认 了 计算 机 病毒 的 存在 ， 使 人 们 认识 到 了 计算 机 病毒 对 计算 机 
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系统 的 破坏 作用 。 

1986 年 底 , 由 巴基斯坦 两 兄弟 Basit 和 Amjad Farooq Alvi 制造 的 病毒 Brain 开始 流行 。 
为 迷惑 计算 机 用 户 ，Brain 病毒 首次 使 用 了 伪装 手段 。Brain 的 蔓延 引起 了 新 闻 媒 体 的 注意 ， 
美国 新 闻 机 构 于 1987 年 10 月 报道 了 这 一 例 计算 机 遭 病 毒 入 侵 及 引起 破坏 的 事件 ， 从 此 计 
算 机 病毒 开始 受到 广大 民众 的 关注 。 

从 20 世纪 90 年 代 至 21 世纪 初 , 几乎 年 年 都 会 出 现 新 的 病毒 品种 ， 其 影响 的 范围 越 来 
越 广 ， 对 计算 机 的 硬件 和 软件 的 破坏 性 也 越 来 越 严 重 。 由 于 篇 幅 的 限制 ， 就 不 在 此 一 一 列 
举 了 ， 对 病毒 有 兴趣 的 读者 可 查阅 相关 资料 。 

2004 年 ， 为 对 抗 防 病毒 工具 的 追 杀 ， 实 现 更 大 范围 的 传播 ， 计 算 机 病毒 开始 频繁 地 变 
种 。 例 如 ,“ 网 络 天 空 ” 病 毒 (Worm/NetSky)、“ 和 雏 认 ”病毒 (LWorm/BBEagle)， 一 经 发 
现 就 已 有 数 十 个 变种 ， 在 病毒 排行 榜 中 长 期 居 高 不 下 。 同 时 ， 窃 取 银 行 账 号 、 信 用 卡 、 游 
戏 账 号 、 邮 箱 账 号 等 偷窃 个 人 信息 性 质 的 木马 病毒 数量 增长 迅速 。 同 年 4 月 ， 云 南 一 网 吧 
80 余 台 计 算 机 的 网 络 游戏 账号 一 夜 之 间 全 部 被 盗 。 

紧 接着 出 现 了 “网 银 大 资 ” 病 毒 ， 它 能 够 轻松 绕 过 某 银行 网 上 银行 系统 的 安全 插件 ， 
盗窃 用 户 银行 卡 账号 及 密码 。 随 后 ， 在 人 们 庆幸 “网 银 大 盗 ” 作 者 落网 的 同时 ， 其 他 病毒 、 
木马 开始 泛滥 ， 层 出 不 穷 。 例 如 ,“ 网 银 大 盗 I” 木 马 病毒 惊 现 网 络 ， 几 乎 所 有 网 上 银行 的 
用 户 成 为 病毒 侵害 的 目标 ;“ 证 券 大 盗 ” 木 马 病毒 (Trojan/PSW.Soufan) 则 可 以 盗 取 多 家 证 
券 交 易 系统 的 交易 账号 和 密码 , 被 盗号 的 股民 账户 存在 着 被 人 恶意 操纵 的 可 能 性 ;“ 密 蜂 大 
盗 ” 病 毒 具有 强大 的 信息 窃取 、 远 程 监控 功能 ， 可 以 窃取 几乎 所 有 类 型 的 密码 ， 自 动 打开 
染 毒 者 的 摄像 头 ， 进 行 远程 监控 、 远 程 摄像 、 遥 控 QQ， 并 可 中 止 防火 墙 ， 而 “黑洞 ” 病 
毒 不 但 能 够 像 “ 蜜 蜂 大 盗 ” 那 样 自动 开启 用 户 的 摄像 头 偷窥 隐私 ， 盗 取 用 户 所 有 密码 ， 掌 
控 用 户 计算 机 中 的 所 有 资料 ， 而 且 还 具有 录音 功能 ， 能 够 偷 录 下 用 户 语音 、 视 频 聊天 的 一 
切 隐私 。 

随 着 计算 机 软 硬 件 的 发 展 和 网 络 技术 的 普及 ， 计 算 机 病毒 的 编制 技术 也 在 不 断 地 适应 
新 的 变化 ， 采 用 新 的 技术 ， 扩 展 新 的 领域 。 病 毒 和 防 病毒 必 将 长 期 并 存 、 斗 争 不 已 。 

总 之 ， 从 1986 年 出 现 第 一 个 感染 PC 机 的 计算 机 病毒 开始 ， 至 今 短 短 30 年 ， 已 经 经 
历 了 3 个 阶段 。 第 一 个 阶段 为 DOS、Windows 等 传统 病毒 ， 此 时 编写 病毒 完全 是 基于 对 技 
术 的 探求 ， 这 一 阶段 的 顶峰 应 该 算是 CIH 病毒 ， 第 二 个 阶段 为 基于 Intemet 的 网 络 病毒 ， 
例如 “红色 代码 ”“ 冲 击 波 ” “震荡 波 ” 等 病毒 皆 属 于 此 阶段 ， 这 类 病毒 往往 利用 系统 漏 
洞 进行 世界 范围 内 的 大 规模 传播 ， 目 前 计算 机 病毒 已 经 发 展 到 了 第 三 阶段 ， 我 们 所 面临 的 
不 再 是 一 个 简 简单 单 的 病毒 ， 而 是 集 病毒 、 黑 客 攻击 、 木 马 、 间 谍 软 件 等 多 种 危害 于 一 身 
的 基于 Intemet 的 网 络 威胁 。 


7.1.3 计算 机 病毒 的 特点 


1. 发 生 侵害 的 主动 性 
病毒 程序 的 目的 就 是 为 了 侵害 他 人 的 计算 机 系统 或 网 络 系统 。 在 计算 机 系统 的 运行 过 
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程 中 ， 病 毒 始终 以 功能 过 程 的 主体 出 现 ， 而 形式 则 可 能 是 直接 或 间接 的 。 病 毒 的 侵害 方式 
代表 了 设计 者 的 意图 ， 因 此 病毒 对 计算 机 运行 控制 权 的 争夺 、 对 其 他 程序 的 侵入 、 传 染 和 
和 危害， 都 采取 了 积极 主动 的 方式 。 

2. 传染 性 

这 是 病毒 的 基本 特征 。 

病毒 的 设计 者 总 是 希望 病毒 能 够 在 较 大 的 范围 内 实现 草 延 和 传播 ， 感 染 更 多 的 程序 、 
计算 机 系统 或 计算 机 网 络 系统 ， 以 达到 最 大 的 侵害 目的 。 

病毒 是 人 为 设计 的 功能 程序 ， 所 以 它 必 须 利用 一 切 可 能 的 途径 和 方法 进行 传染 。 程 序 
之 间 的 传染 通常 是 由 病毒 的 传染 模块 执行 的 ， 它 借助 于 正常 的 信息 处 理 途径 和 方法 ， 例 如 
磁盘 的 引导 、 启 动 、 程 序 的 调用 、 存 储 器 的 驻 留 ， 以 及 程序 代码 的 增加 、 删 除 、 修 改 等 ; 
而 计算 机 系统 之 间 的 病毒 传播 通常 是 通过 软盘 、 光 盘 等 信息 载体 和 网 络 通信 等 信息 传输 途 
径 进行 。 具 体 地 讲 ， 计 算 机 病毒 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计 
算 机 ， 在 某 些 情况 下 造成 被 感染 的 计算 机 工作 失常 甚至 瘫痪 。 它 会 搜寻 其 他 符合 其 传染 条 
件 的 程序 或 存储 介质 ， 确 定 目标 后 再 将 自身 代码 插入 其 中 ， 达 到 自我 繁殖 的 目的 。 

是 否 具 有 传染 性 ， 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 

3. 隐蔽 性 

设计 病毒 的 动机 就 是 要 对 计算 机 系统 进行 非 授权 的 非法 活动 , 对 计算 机 系统 进行 侵害 。 
清除 病毒 是 广大 计算 机 用 户 的 一 致 要求。 在 侵害 和 反 侵害 的 对 抗 中 ， 计 算 机 病毒 常常 会 借 
助 于 各 种 技巧 来 隐藏 自己 的 行踪 ， 保 护 自 己 ， 从 而 做 到 在 被 发 现 及 清除 之 前 ， 能 够 在 更 广 
泛 的 范围 内 进行 传染 和 传播 ， 期 待 发 作 时 可 以 造成 更 大 的 破坏 性 。 

计算 机 病毒 都 是 一 些 可 以 直接 或 间接 运行 的 具有 较 高 超 技 巧 的 程序 ， 它 们 可 以 隐藏 在 
操作 系统 中 ， 也 可 以 隐藏 在 可 执行 文件 或 数据 文件 中 ， 目 的 是 不 让 用 户 发 现 它 的 存在 。 常 
用 的 隐藏 方法 有 贴 附 、 取 代 、 隐 藏 在 磁盘 的 非 规 范 区 域 的 缝隙 中 、 驻 留 在 内 存 的 坏 簇 中 、 
变异 或 衍生 、 加 密 和 反 跟 踪 等 。 

如 果 不 经 过 代码 分 析 ， 病 毒 程序 与 正常 程序 是 不 容易 区 别 开 来 的 。 一 般 在 没有 防护 措 
施 的 情况 下 ， 受 到 感染 的 计算 机 系统 通常 仍 能 正常 运行 ， 用 户 不 会 感到 任何 异常 。 大 部 分 
的 病毒 代码 之 所 以 设计 得 非常 短小 ， 也 是 为 了 隐藏 。 病 毒 一 般 只 有 几 百 或 一 千 字 节 。 

4. 表现 性 

病毒 一 旦 被 启动 ， 就 会 立刻 开始 进行 破坏 活动 。 为 了 能 够 在 合适 的 时 机 开始 工作 ， 必 
须 预先 设置 触发 条 件 并 且 首 先 将 其 设置 为 不 触发 状态 。 最 典型 的 触发 方式 是 那 种 基于 某 个 
特定 日 期 的 ， 例 如 星期 五 同时 又 是 13 号 或 3 月 6 日 〈 米 开朗 基 罗 的 生日 )。 其 他 的 触发 方 
式 可 以 更 巧妙 ， 例 如 当 程 序 运行 了 多 少 次 之 后 ， 或 者 当 某 个 计算 机 系统 被 同一 种 病毒 感染 
了 多 少 次 之 后 ， 或 者 某 个 特定 的 用 户 标识 符 或 文件 名 或 文件 扩展 名 的 出 现 或 使 用 等 。 

5. 破坏 性 

任何 病毒 只 要 侵入 系统 ， 都 会 对 系统 及 应 用 程序 产生 不 同 程度 的 影响 ， 轻 者 会 降低 计 
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算 机 工作 效率 ， 占 用 系统 资源 ， 重 者 可 导致 系统 崩溃 。 

表现 和 破坏 ， 是 病毒 的 最 终 目 的 。 

6. 难 确定 性 

从 本 质 上 讲 , 病毒 程序 的 每 一 条 具体 指令 的 语句 和 语法 都 是 规范 的 ,是 系统 所 支持 的 ， 
因此 仅仅 从 程序 的 语句 和 语法 是 不 能 判断 哪个 程序 是 合法 的 ， 哪 个 程序 是 非法 的 。 

对 病毒 程序 的 行为 进行 分 析 ， 病 毒 程序 也 是 难以 确定 的 。 例 如 ， 病 毒 程序 作为 用 户 程 
序 的 子 程序 调用 ， 怎 么 判断 这 种 调用 行为 是 非法 的 呢 ? 如 果 从 最 终结 果 的 有 害 性 或 无 害 性 
进行 判断 ， 则 问题 将 转化 为 合法 的 语句 + 合法 的 语法 = 有 益 的 行为 效果 吗 ? 

例如 ， 正 常 文件 操作 的 增加 、 删 除 、 修 改 和 显示 功能 ， 和 病毒 程序 进行 破坏 的 增加 、 
删除 、 修 改 和 显示 行为 ， 是 无 法 从 增加 、 删 除 、 修 改 和 显示 行为 本 身上 进行 区 分 的 。 从 程 
序 的 再 生 和 复制 的 角度 来 看 ， 传 染 和 复制 是 完全 一 致 的 。 例 如 ， 一 个 编译 自身 新 版 本 的 编 
译 程序 就 是 合法 的 。 所 以 ， 从 行为 的 角度 来 确定 某 个 程序 是 否 为 病毒 程序 也 是 很 困难 的 。 


7.1.4 计算 机 病毒 的 分 类 


为 了 更 好 地 认识 计算 机 病毒 ， 下 面 按 不 同 的 方式 对 病毒 进行 分 类 。 

1. 按 其 破坏 性 

可 分 为 :良性 病毒 和 恶性 病毒 。 

(1) 良性 病毒 。 这 类 病毒 表现 较为 温和 ， 它 仅仅 是 为 了 表现 自己 的 存在 。 例 如 ， 显 示 
信息 、 奏 乐 、 发 出 声响 ， 对 源 程序 不 做 修改 ， 也 不 直接 破坏 计算 机 的 软 硬 件 ， 对 系统 危害 
较 小 。 但 由 于 要 进行 自我 复制 和 传染 ， 所 以 会 消耗 系统 的 资源 。 

(2) 恶性 病毒 。 恶性 病毒 会 对 计算 机 的 软件 或 硬件 进行 恶意 攻击 ,使 系统 遭 到 不 同 程 
度 的 破坏 。 例 如 ， 破 坏 数据 、 删 除 文件 、 加 密 磁 盘 、 格 式 化 磁盘 、 破 坏 主板 导致 死机 或 网 
络 竣 痪 等 。 

2. 按 其 传染 途径 

可 分 为 : 驻 留 内 存 型 病毒 和 非 驻 留 内 存 型 病毒 。 

(1) 驻 留 内 存 型 病毒 。 驻 留 内 存 型 病毒 感染 计算 机 后 ,会 把 自身 的 内 存 驻 留 部 分 放 在 
内 存 中 ， 始 终 处 于 激活 状态 ， 一 直到 关机 或 重新 启动 。 

(2) 非 驻 留 内 存 型 病毒 。 非 驻 留 内 存 型 病毒 在 得 到 机 会 激活 时 , 并 不 感染 计算 机 内 存 。 
另 有 一 些 病毒 在 内 存 中 留 有 小 部 分 ， 但 是 并 不 通过 这 一 部 分 进行 传染 ， 这 类 病毒 也 被 划分 
为 非 驻 留 内 存 型 病毒 。 

3. 按 连接 方式 

可 分 为 : 源码 型 、 入 侵 型 、 操 作 系统 型 和 外 壳 型 病毒 。 

(1) 源码 型 病毒 。 源 码 型 病毒 较为 少见 ， 亦 难 编号、 传播 。 因 为 它 要 攻击 高 级 语言 纺 
写 的 源 程序 ， 在 源 程 序 编译 之 前 插入 其 中 ， 并 随 源 程序 一 起 编译 、 连 接 成 可 执行 文件 。 这 


多 计算 机 网 络 安全 技术 与 应 用 
样 ， 刚 刚 生 成 的 可 执行 文件 便 已 经 带 毒 了 。 

(2) 入 侵 型 病毒 。 入 侵 型 病毒 可 用 自身 代替 正常 程序 中 的 部 分 模块 或 堆栈 区 ， 因 此 这 
类 病毒 只 攻击 某 些 特定 程序 ， 针 对 性 强 。 一 般 情况 下 ， 也 难以 发 现 和 清除 。 

(3) 操作 系统 型 病毒 。 操作 系统 型 病毒 可 用 其 自身 部 分 加 入 或 蔡 代 操 作 系 统 的 部 分 功 
能 。 因 其 直接 感染 操作 系统 ， 这 类 病毒 的 危害 性 也 较 大 。 

(4) 外 这 型 病毒 。 外 过 型 病毒 将 自身 附 在 正常 程序 的 开头 或 结尾 ， 相 当 于 给 正常 程序 
加 了 个 外 壳 。 大 部 分 的 文件 型 病毒 都 属于 这 一 类 。 


4. 按 宵 生 方 式 


可 分 为 : 引导 型 病毒 、 文 件 型 病毒 以 及 集 两 种 病毒 特性 于 一 体 的 复合 型 病毒 和 宏 病 毒 、 
网 络 病毒 。 

(1) 引导 型 病毒 。 引 导 型 病毒 会 改写 ( 即 一 般 所 说 的 “感染 ”) 磁盘 上 的 引导 扇 区 或 
硬盘 上 分 区 表 的 内 容 。 如 果 用 已 感染 病毒 的 软盘 来 启动 系统 的 话 ， 则 会 感染 硬盘 。 

(2) 文件 型 病毒 。 文 件 型 病毒 主要 以 感染 文件 扩展 名 为 .com、.exe 和 .ovl 等 可 执行 程 
序 为 主 。 它 的 安装 必须 借助 于 病毒 的 载体 程序 ， 即 要 运行 病毒 的 载体 程序 ， 方 能 把 文件 型 
病毒 引入 内 存 。 感 染 此 病毒 的 文件 执行 速度 会 减缓 ， 甚 至 完全 无 法 执行 。 有 些 文件 遭 感染 
后 ， 一 执行 就 会 遭 到 删除 。 

(3) 复合 型 病毒 。 复合 型 病毒 综合 了 引导 型 和 文件 型 病毒 的 特性 ， 其 “性 情 ” 也 就 比 
引导 型 和 文件 型 病毒 更 为 “凶残 ”。 此 种 病毒 通过 上 述 两 种 方式 来 感染 ,更 增加 了 病毒 的 传 
染 性 以 及 存活 率 。 不 管 以 哪 种 方式 传染 ， 只 要 中 毒 就 会 经 开机 或 执行 程序 而 感染 其 他 的 磁 
盘 或 文件 。 此 种 病毒 也 是 最 难 杀 灭 的 。 

(4) 宏 病 毒 。 宏 病毒 一 般 是 指 寄 存在 Microsoft Office 文档 上 的 病毒 宏 代码 。 它 影响 
对 文档 的 各 种 操作 ， 如 打开 、 存 储 、 关 闭 或 清除 等 。 当 打开 Office 文档 时 ， 宏 病毒 程序 就 
会 被 执行 ， 即 宏 病 毒 处 于 活动 状态 ， 当 触发 条 件 满足 时 ， 宏 病毒 才 开 始 传染 、 表 现 和 破坏 。 

(5) 网 络 病毒 。 网 络 病毒 大 体 上 可 分 为 两 类 : 一 类 是 局 域 网 上 的 病毒 男 一 类 就 是 随 
着 互联 网 的 兴起 而 产生 的 新 的 网 络 病毒 。 

网 络 病毒 又 可 以 根据 提供 的 服务 来 进一步 细 分 ,互联 网 提供 了 众多 的 服务 ,例如 WWW 
服务 、 电 子 邮 件 服务 、 文 件 传输 服务 等 。 病 毒 可 以 利用 这 些 服 务 来 传播 ， 因 而 可 以 把 网 络 
病毒 分 为 邮件 病毒 、 网 页 病毒 、FTP 病毒 等 。 其 中 ， 邮 件 病毒 在 网 络 病毒 中 占 了 绝 大 多 数 。 

网 络 病毒 最 显著 的 特征 是 其 传播 过 程 与 传统 单机 病毒 截然 不 同 ， 网 络 病毒 的 传播 无 须 
普通 用 户 的 介入 。 网 络 病毒 侵入 网 络 后 ， 将 自动 收集 有 用 信息 ， 例 如 电子 邮件 地 址 列表 、 
网 络 中 传输 的 明文 口令 等 ， 或 者 是 自动 探测 其 他 计算 机 上 存在 的 漏洞 ， 然 后 据 此 向 网 络 中 
的 其 他 计算 机 传播 。 

5.， 其 他 一 些 分 类 方式 


按照 计算 机 病毒 攻击 的 操作 系统 ,可 将 病毒 分 为 攻击 DOS 系统 的 病毒 、 攻 击 Windows 
系统 的 病毒 、 攻击 UNIX 系统 的 病毒 、 攻击 OS/2 系统 的 病毒 ; 按照 计算 机 病毒 激活 的 时 间 ， 
可 分 为 仅 在 某 一 特定 的 时 间 才 发 作 的 定时 病毒 和 不 由 时 钟 来 激活 的 随机 病毒 ， 按 计算 机 病 
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毒 攻 击 的 机 型 ， 还 可 将 病毒 分 为 攻击 微型 机 的 病毒 、 攻 击 小 型 机 的 病毒 和 攻击 工作 站 的 
病毒 。 


7.1.5 计算 机 病毒 的 危害 


计算 机 病毒 的 主要 危害 有 : 

1. 病毒 激发 对 计算 机 数据 信息 的 直接 破坏 作用 

大 部 分 病毒 在 激发 的 时 候 会 直接 破坏 计算 机 系统 的 重要 信息 数据 ， 所 利用 的 手段 有 格 
式 化 磁盘 、 改 写 文件 分 配 表 和 目录 区 、 删 除 重要 文件 或 者 用 无 意义 的 “垃圾 ”数据 改写 文 
件 、 破 坏 CMOS 设置 等 。 

例如 ,“ 磁 盘 杀 手 ” 病 毒 内 含 计 数 器 ， 在 硬盘 染 毒 后 累计 开机 时 间 达 到 48 小 时 即 会 激 
发 。 激 发 的 时 候 ， 屏 幕 上 显示 Warning!! Don't turm off power or remove diskette while Disk 
Killer is Processing! (警告 ! DISK KILLER 正在 工作 ， 不 要 关闭 电源 或 取出 磁盘 )。 
提示 : 被 DISK KILLER 破坏 的 硬盘 可 以 用 杀毒 软件 修复 ， 不 要 轻易 放弃 。 

2. 占用 磁盘 空间 

寄生 在 磁盘 上 的 病毒 总 要 非法 占用 一 部 分 磁盘 空间 。 

引导 型 病毒 的 一 般 侵占 方式 是 由 病毒 本 身 占据 磁盘 引导 扇 区 ， 而 把 原来 的 引导 扇 区 转 
移 到 其 他 扇 区 ， 也 就 是 引导 型 病毒 要 和 覆盖 一 个 磁盘 肩 区 , 被 覆盖 扇 区 的 数据 将 永久 性 丢失 
无 法 恢复 。 

文件 型 病毒 利用 一 些 DOS 功能 进行 传染 , 这 些 DOS 功能 能 够 检测 出 磁盘 的 未 用 空间 ， 
把 病毒 的 传染 部 分 写 到 磁盘 的 未 用 部 位 去 ， 所 以 在 传染 过 程 中 一 般 不 破坏 磁盘 上 的 原 有 数 
据 ， 但 非法 侵占 了 磁盘 空间 。 一 些 文 件 型 病毒 的 传染 速度 很 快 ， 在 短 时 间 内 可 感染 大 量 文 
件 ， 每 个 文件 都 不 同 程度 地 被 加 长 了 ， 从 而 造成 磁盘 空间 的 严重 浪费 。 

3. 抢占 系统 资源 


除 VIENNA、CASPER 等 少数 病毒 外 ， 其 他 大 多 数 病毒 在 动态 时 都 是 常 驻 内 存 的 ， 这 
就 必然 抢占 一 部 分 系统 资源 。 病 毒 所 占用 的 基本 内 存 长 度 大 致 与 病毒 本 身长 度 相 当 。 病 毒 
抢占 内 存 ， 将 导致 内 存 减 少 ， 一 部 分 软件 不 能 运行 。 

除 占 用 内 存 外 ， 病 毒 还 会 抢占 中 断 ， 干 扰 系 统 运行 。 病 毒 为 了 传染 、 激 发 ， 总 是 修改 
一 些 有 关 的 中 断 地 址 ， 在 正常 中 断 过 程 中 加 入 病毒 的 “ 私 货 ” 从 而 干扰 系统 的 正常 运行 。 

4. 影响 计算 机 的 运行 速度 


病毒 进驻 内 存 后 ， 不 但 干扰 系统 运行 ， 还 会 影响 计算 机 的 运行 速度 。 主 要 表现 在 : 

(1) 病毒 为 了 判断 传染 、 激 发 条 件 ， 总 要 对 计算 机 的 工作 状态 进行 监视 。 

(2) 有 些 病毒 为 了 保护 自己 , 不 但 对 磁盘 上 的 静态 病毒 加 密 ， 而 且 使 进驻 内 存 后 的 动 
态 病 毒 也 处 在 加 密 状 态 。CPU 每 次 寻 址 到 病毒 处 时 ， 要 运行 一 段 解密 程序 把 加 密 的 病毒 解 


多 计算 机 网 络 安全 技术 与 应 用 


密 成 合法 的 CPU 指令 青 执行 ， 而 病毒 运行 结束 时 ， 青 用 一 段 程序 对 病毒 重新 加 密 。 这 样 ， 
CPU 额外 执行 了 数 千 条 以 至 上 万 条 指令 。 

(3) 病毒 在 进行 传染 时 ， 同 样 要 搬入 非法 的 额外 操作 。 特 别 是 传染 软盘 时 ， 不 但 计算 
机 的 速度 明显 变 慢 ， 而 且 软盘 正常 的 读 写 顺 序 会 被 打 乱 ， 发 出 刺耳 的 噪声 。 


7.1.6 计算 机 病毒 的 工作 机 理 


1. 计算 机 病毒 的 结构 


了 解 病 毒 的 编制 技术 , 才能 更 好 地 防治 和 清除 病毒 。 要 想 了 解 计算 机 病毒 的 工作 机 理 ， 
首先 要 了 解 病毒 的 结构 。 计 算 机 病毒 在 结构 上 有 着 共同 性 ， 一 般 由 引导 模块 、 传 染 模块 、 
表现 模块 3 部 分 组 成 。 


注意 : 必须 指出 的 是 ， 不 是 任何 病毒 都 必须 包含 这 3 个 模块 。 


(1) 引导 模块 。 也 就 是 病毒 的 初始 化 部 分 ， 它 随 着 宿主 程序 的 执行 而 进入 内 存 ， 为 传 
染 模块 做 准备 。 

(2) 传染 模块 。 传 染 模块 的 作用 是 将 病毒 代码 复制 到 目标 上 去 。 一 般 病毒 在 对 目标 进 
行 传染 前 ,要 首先 判断 传染 条 件 是 否 满足 ， 判 断 病毒 是 否 已 经 感染 过 该 目标 等 。 例如 ，CIH 
病毒 只 针对 Windows 95/98 操作 系统 。 

(3) 表现 模块 。 这 是 病毒 间 差 异 最 大 的 部 分 ， 前 两 部 分 都 是 为 这 一 部 分 服务 的 。 它 会 
破坏 被 传染 系统 或 者 在 被 传染 系统 的 设备 上 表现 出 特定 的 现象 。 大 部 分 病毒 都 是 在 一 定 条 
件 下 ， 才 会 触发 其 表现 部 分 的 。 

2. 计算 机 病毒 的 工作 机 理 

计算 机 病毒 是 可 执行 的 程序 ， 所 以 需要 操作 系统 的 支持 。 因 为 计算 机 病毒 的 传染 和 发 
作 需 要 使 用 一 些 系统 函数 及 硬件 ， 而 后 者 往往 在 不 同 的 平台 上 是 各 不 相同 的 ， 因 此 大 多 数 
计算 机 病毒 都 是 针对 某 种 处 理 器 和 操作 系统 编写 的 。 

计算 机 病毒 能 够 感染 的 只 有 可 执行 代码 ， 按 照 可 执行 代码 的 种 类 可 以 将 计算 机 病毒 分 
为 引导 型 病毒 、 文 件 型 病毒 、 宏 病毒 和 网 络 病毒 四 大 类 。 

(1) 引导 型 病毒 

@ 引导 型 病毒 的 工作 机 理 

引导 扇 区 是 硬盘 或 软盘 的 第 一 个 扇 区 ， 是 存放 引导 指令 的 地 方 ， 这 些 引 导 指 令 对 于 操 
作 系 统 的 装载 起 着 十 分 重要 的 作用 。 一 般 来 说 ， 引 导 扇 区 在 CPU 的 运行 过 程 中 最 先 获得 对 
CPU 的 控制 权 ， 病 毒 一 旦 控制 了 引导 扇 区 ， 也 就 意味 着 病毒 立即 控制 了 整个 计算 机 系统 。 

引导 型 病毒 程序 会 用 自己 的 代码 替换 原始 的 引导 肩 区 信息 ， 并 把 这 些 信息 转移 到 磁盘 
的 其 他 扇 区 中 。 当 系统 需要 访问 这 些 引导 数据 信息 时 ， 病 毒 程序 会 将 系统 引导 到 存储 这 些 
引导 信息 的 新 扇 区 ， 从 而 使 系统 无 法 发 觉 引 导 信 息 的 转移 ， 增 强 了 病毒 自身 的 隐蔽 性 。 

引导 型 病毒 可 以 将 感染 进行 有 效 的 传播 。 病 毒 程序 将 其 部 分 代码 驻 留 在 内 存 中 ， 这 样 
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任何 插入 此 系统 驱动 器 中 的 磁盘 都 将 感染 此 病毒 。 当 这 些 感染 了 引导 型 病毒 的 磁盘 在 其 他 
计算 机 系统 中 使 用 时 ， 这 个 循环 就 可 以 继续 下 去 了 。 

@ 一 个 引导 型 病毒 的 例子 

“巴基斯坦 大 脑 ”(Pakistani Brand) 曾经 是 一 种 最 流行 的 引导 型 病毒 。 它 首先 将 原始 
的 引导 信息 移动 到 磁盘 的 其 他 部 分 ， 然 后 将 自己 复制 到 引导 扇 区 和 磁盘 的 其 他 空闲 区 域 ， 
从 而 破坏 了 硬盘 分 区 信息 和 文件 定位 表 信 息 ， 导 致 用 户 无 法 访问 文件 。 

“巴基斯坦 大 脑 ” 病 毒 和 其 他 的 引导 型 病毒 ， 都 知道 应 该 如 何 保护 自己 。 该 病毒 能 
在 感染 引导 扇 区 之 后 仍旧 若无其事 地 显示 原始 的 、 正 确 的 引导 扇 区 数据 ， 而 不 是 它 自 己 的 
病毒 代码 。 如 果 用 户 要 删除 或 修改 代码 ， 该 病毒 能 够 自我 毁灭 ， 消 除 它 自己 的 所 有 痕迹 。 
令 人 感到 奇怪 的 是 ， 一 方面 “巴基斯坦 大 脑 ” 病 毒 有 许多 逃避 检测 的 功能 ， 另 一 方面 它 又 
经 常 使 用 “(C) BRAIN” 作 为 其 卷 标 以 显示 它 的 存在 。 

(2) 文件 型 病毒 

Q@ 文件 型 病毒 的 工作 机 理 

文件 型 病毒 攻击 的 对 象 是 可 执行 程序 ， 病 毒 程序 将 自己 附着 或 追加 在 后 缀 名 为 .exe 
或 .com 的 可 执行 文件 上 。 当 感染 了 该 类 病毒 的 可 执行 文件 运行 时 ， 病 毒 程序 将 在 系统 中 进 
行 它 的 破坏 行动 。 同 时 ， 它 将 驻 留 在 内 存 中 ， 试 图 感染 其 他 文件 。 当 该 类 病毒 完成 了 它 的 
工作 之 后 ， 其 宿主 程序 才 得 到 运行 ， 使 一 切 看 起 来 很 正常 。 

@ 一 个 文件 型 病毒 的 例子 

Lehigh 病毒 是 一 种 曾经 广泛 传播 的 文件 型 病毒 。 它 将 自己 附加 在 一 个 DOS 系统 中 非常 
重要 的 系统 文件 COMMAND.COM 上 ， 并 通过 软盘 在 计算 机 系统 中 传播 。 当 某 个 计算 机 系 
统 被 该 病毒 感染 了 4 次 之 后 ， 它 便 开始 删除 硬盘 上 的 信息 ， 以 致 硬盘 不 可 再 用 。 

(3) 宏 病 毒 

随 着 Microsoft 的 办 公 自 动 化 软件 Office 的 日 益 普 及 , 一 种 新 型 病毒 一 一 宏 病 毒 开始 流 
行 开 来 。 它 在 一 定 的 条 件 下 爆发 ， 例 如 每 月 的 13 号 ， 并 且 可 以 感染 Word 中 的 模板 软件 。 

@ 安 病 毒 的 工作 机 理 

为 了 减少 用 户 的 重复 劳作 ， 例 如 进行 相似 的 操作 ，Office 提供 了 一 种 所 谓 宏 的 功能 。 
利用 这 个 功能 ， 用 户 可 以 把 一 系列 的 操作 记录 下 来 ， 作 为 一 个 宏 。 之 后 只 要 运行 这 个 宏 ， 
计算 机 就 能 自动 地 重复 执行 那些 定义 在 宏 中 的 所 有 操作 。 这 种 宏 操 作 一 方面 方便 了 普通 的 
计算 机 用 户 ， 另 一 方面 却 也 给 病毒 制造 者 提供 了 可 乘 之 机 。 


提示 : 简单 地 说 ， 宏 是 一 组 批 处 理 命令 ， 是 用 高 级 语言 编写 的 一 段 程序 。 


宏 病 毒 是 一 种 专门 感染 Office 系列 文档 的 恶性 病毒 。1995 年 ， 世 界 上 发 现 了 第 一 个 宏 
病毒 Concept。 由 于 宏 的 编程 语言 VBA 简单 易学 ， 因 此 大 量 的 宏 病毒 层出不穷 ， 短 短 两 年 
时 间 其 数量 就 上 升 至 20000 多 种 ! 

当 Word 打开 一 个 扩展 名 为 .doc 的 文件 时 ， 首 先 检查 里 面 有 没有 模板 / 宏 代 码 。 如 果 有 ， 
则 认为 这 不 是 普通 的 .doc 文件 ， 而 是 一 个 模板 文件 。 如 果 里 面 存 在 以 AUTO 开头 的 宏 ， 则 
Word 随后 就 会 执行 这 些 宏 。 
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染 毒 的 .doc 文件 打开 后 ， 在 用 户 使 用 菜单 、 快 捷 键 和 工具 栏 时 ， 或 者 运行 以 AUTO 开 
头 的 宏 时 ， 便 会 激活 宏 病 毒 ， 感 染 全 局 模板 文件 (例如 ，NORMAL.doc 或 POWERUPdoc 
等 )。 宏 病毒 通过 控制 这 些 全 局 模板 文件 ， 得 到 了 系统 的 控制 权 。 以 后 ， 当 系统 中 有 文档 存 
储 操作 时 , 病毒 就 会 将 自身 复制 并 入 侵 此 文档 文件 , 同时 将 该 文档 存储 为 一 个 扩展 名 为 .doc 
的 模板 文件 。 当 发 作 条 件 满 足 时 ， 该 病毒 就 会 开始 它 的 破坏 活动 。 

除了 Word 宏 病毒 外 ， 还 出 现 了 感染 Excel、Access 的 宏 病 毒 。 宏 病毒 还 可 以 在 它们 之 
间 进 行 交 义 感 染 ， 并 由 Word 感染 Windows 的 VxD。 很 多 宏 病 毒 具 有 隐形 、 变 形 能 力 ， 并 
具有 对 抗 防 病毒 软件 的 能 力 。 此 外 ， 安 病毒 还 可 以 通过 电子 邮件 等 进行 传播 。 一 些 宏 病毒 
已 经 不 再 在 File Save As 时 暴露 自己 ， 并 克服 了 语言 版 本 的 限制 ， 可 以 隐藏 在 RIF 格式 的 
文档 中 。 

@ 一 个 宏 病 毒 的 例子 

“台湾 I 号 ”和 “台湾 开 号 ”就 是 两 种 宏 病毒 。 它 们 在 用 户 打开 染 毒 的 Word 文档 时 ， 
会 给 出 一 道 数学 题 。 如 果 用 户 答 错 了 ， 它 将 打开 10 个 文档 窗口 。 然 后 ， 它 又 给 出 一 道 题 ， 
如 果 用 户 又 算 错 了 ,， 它 又 会 打开 10 个 文档 窗口 …… 一 直 这 样 下 去 ， 直到 消耗 完 该 计算 机 上 
的 系统 资源 ， 导 致死 机 为 止 。 

(4) 网 络 病毒 

为 了 更 加 容易 理解 ， 下 面 将 以 典型 的 “远程 探险 者 ”(Remote Explorer) 病毒 为 例 进 行 
分 析 。 为 什么 说 它 是 典型 的 呢 ? 因 为 它 是 真正 的 网 络 病毒 ， 一 方面 它 需要 通过 网 络 方 可 实施 
有 效 的 传播 ; 另 一 方面 ， 它 要 想 真 正 地 攻 入 网 络 〈 无 论 是 局 域 网 还 是 广域网 )， 本 身 必 须 具 
备 系统 管理 员 的 权限 ， 如 果 不 具 备 此 权限 ， 则 它 只 能 够 对 当前 被 感染 的 主机 中 的 文件 和 目 
录 起 作用 。 

该 病毒 仅 在 Windows NT Server 和 Windows NT Workstation 平台 上 起 作用 ， 专 门 感 
染 .exe 文件 。Remote Explorer 的 破坏 作用 主要 表现 在 : 加 密 某 些 类 型 的 文件 ， 使 其 不 能 再 
用 ， 并 且 能 够 通过 局 域 网 或 广域网 进行 传播 。 


统 服务 被 自动 加 载 到 当前 的 系统 中 。 为 增强 自身 的 隐蔽 性 ， 该 系统 服务 会 自动 修改 Remote 
Explorer 在 NT 服务 中 的 优先 级 , 在 工作 日 (周一 到 周 五 ) 的 6 时 到 15 时 , Remote Explorer 
将 自己 的 优先 级 设置 为 最 低 ， 而 在 其 他 时 间 则 将 自己 的 优先 级 提升 一 级 ， 以 便 加 快 传染 。 

Remote Explorer 的 传播 无 须 普通 用 户 的 介入 (例如 交换 软盘 或 电子 邮件 等 )。 该 病毒 侵 
入 网 络 后 ， 直 接 使 用 远程 管理 技术 监视 网 络 ， 查 看 域 登 录 情况 并 自动 搜集 远程 计算 机 中 的 
数据 (包括 超级 用 户口 令 )， 然 后 再 利用 所 搜集 的 数据 (例如 口令 ) 将 自身 向 网 络 中 的 其 他 
计算 机 传播 。 由 于 系统 管理 员 能 够 访问 到 所 有 远程 共享 资源 ， 所 以 具备 同等 权限 的 Remote 
Explorer 也 就 能 够 感染 网 络 环境 中 所 有 的 NT 服务 器 和 工作 站 中 的 共享 文件 。 


7.1.7 常见 计算 机 网 络 病毒 举例 


据 统计 ， 目 前 世界 上 流行 的 计算 机 病毒 达 5 万 多 种 ， 而 且 几 乎 每 月 、 每 周 都 有 新 的 病 
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毒 及 其 变种 产生 。 了 解 已 知 、 常 见 和 破坏 力 较 强 的 病毒 的 特征 ， 对 病毒 的 诊断 、 清 除 和 预 
防 都 是 十 分 必要 的 。 
下 面 将 介绍 3 种 较 有 代表 性 的 计算 机 病毒 : Intemet 病毒 、 震 荡 波 病毒 和 电子 邮件 病毒 。 


1. Internet 病毒 


Internet 病毒 是 指 美 国 一 位 23 岁 的 学 生 莫 里 斯 编制 的 计算 机 蠕虫 (Worm) 病毒 。 该 
病毒 在 1988 年 11 月 2 日 入 侵 了 美国 Internet 网 ， 殊 及 5 个 计算 机 中 心 的 12 个 地 区 节点 ， 
连接 着 政府 、 大 学 、 研 究 所 和 拥有 政府 合同 的 25 000 多 台 计 算 机 。 据 统计 ， 这 次 病毒 侵害 
造成 的 直接 经 济 损失 高 达 9 600 万 美元 ， 而 对 各 大 研究 中 心 和 网 络 研究 工作 的 影响 更 是 难 
以 估算 。 

这 种 病毒 以 三 种 途径 侵入 Internet 网 络 : 

(1) 通过 网 络 中 Berkeley UNIX 4.3 sendmail 的 程序 故障 使 调试 位 呈 通 态 。 
(2) 在 finger 程序 的 一 部 分 中 使 缓冲 器 过 载 ， 让 其 对 病毒 的 另 一 部 分 进行 编译 和 


(3) 通过 获取 口令 进入 系统 。 
病毒 入 侵 后 ， 通 过 网 络 不 断 扩散 ， 使 得 受 感染 的 系统 负载 变 得 非常 重 ， 直 接 影响 网 上 
SUN 和 VAX 系统 的 运行 。 

2.“ 震 荡 波 ”病毒 

2004 年 5 月 1 日 ， 当 人 们 正 沉 浸 在 黄金 周 的 快乐 之 中 时 ， 一 个 新 的 病毒 一 一 “震荡 波 
(Worm.Sasser)” 开 始 在 互联 网 上 肆虐 。 

“震荡 波 ” 病 毒 跟 “ 冲 击 波 ” 病 毒 非常 类 似 ， 它 是 利用 微软 的 系统 漏洞 MS04-011 进 
行 传播 的 。 用 户 的 计算 机 一 旦 感染 该 病毒 ， 系 统 将 开启 上 百 个 线程 去 攻击 他 人 ， 造 成 计算 
机 系统 运行 异常 缓慢 、 网 络 不 畅通 ， 并 让 系统 不 停 地 进行 重新 启动 。 

值得 注意 的 是 ， 在 2004 年 4 月 13 日 ， 微 软 对 此 漏洞 发 布 过 级 别 为 严重 的 安全 公告 。 

据 估计 ， 该 病毒 的 第 一 次 爆发 在 中 国 造成 了 10 万 一 20 万 用 户 感染 ， 仅 在 北京 地 区 5 
天 之 内 就 瑞 及 7 000 用 户 ， 而 从 5 月 8 日 开始 的 第 二 次 病毒 爆发 ， 给 用 户 造 成 的 损失 更 是 

如 果 计 算 机 出 现下 列 现 象 之 一 ， 则 表明 该 计算 机 系统 可 能 已 经 中 毒 ， 用 户 应 该 立刻 采 
取 措 施 ， 清 除 该 病毒 。 

(1) 出 现 系统 错误 对 话 框 

首先 ， 计算 机 出 现 如 图 7-1 所 示 的 LSA Shell (Export Version〉 服 务 异常 对 话 框 ， 接 着 
出 现 如 图 7-2 所 示 的 一 分 钟 后 重启 计算 机 的 “系统 关机 ”提示 对 话 框 。 

(2) 系统 资源 被 大 量 占用 

病毒 如 果 攻 击 成 功 ， 即 会 占用 大 量 系统 资源 ， 使 CPU 占用 率 迅速 达到 100%， 出 现 计 
算 机 系统 的 运行 异常 缓慢 、 网 络 服务 软件 无 法 工作 、 速 度 突然 变 慢 或 断 线 、 单 击 网 页 链接 
无 响应 、 桌 面 或 系统 图 标 双 击 无 法 打开 等 现象 。 
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LS4 Shell (Export Yersion) 
a Lee ie) BAER Rt @ 王 相让 和 
因果 人 下 执 行 到 一 半 ， 才 的 未 保 译 的 让 可 能 会 关 失 。 
融 关 机 还 有 ; 00:00:18 
计生 和 地 前 和 
和 9 条 
和 Ee 
Ee 
图 7-1 LSA Shell (Export Version) 服务 异常 对 话 框 图 7-2 “系统 关机 ”对 话 框 


(3) 系统 内 存 中 出 现 名 为 avserve 的 进程 
病毒 如 果 攻 击 成 功 ， 会 在 内 存 中 产生 avserve.exe 进程 。 可 以 通过 按 Ctrl+Alt+Del 键 的 
方式 调用 任务 管理 器 ， 然 后 在 “进程 ”选项 卡 中 查看 内 存 中 是 否 存在 该 病毒 进程 。 
(4) 系统 目录 中 出 现 名 为 avserve.exe 的 病毒 文件 
病毒 如 果 攻 击 成 功 ,会 在 系统 安装 目录 (默认 为 CWINNT) 下 生成 一 个 名 为 avserve.exe 
的 病毒 文件 。 
(5) 注册 表 中 出 现 病毒 键 值 
病毒 如 果 攻 击 成 功 ， 会 在 注册 表 的 KEY_ LOCAL MACHINE\SOFTWARE\Microsoft\ 
Windows\Current Version\Run 项 中 建立 病毒 键 值 "avserve.exe"="%WINDOWS%\ avserve.exe"。 


3. 电子 邮件 病毒 


臭名 昭著 的 “美丽 莎 ”(Melissa)、Papa 和 HAPPY99 以 及 “红色 代码 ”等 病毒 ， 都 是 
通过 电子 邮件 的 方式 进行 传播 、 扩 散 的 ， 导 致 用 户 重要 的 文档 泄密 ,甚至 邮件 服务 器 瘫痪 ， 
无 法 收发 E-mail， 给 个 人 、 企 业 和 政府 部 门 造成 了 严重 的 损失 。 

所 谓 电子 邮件 病毒 ， 就 是 以 电子 邮件 方式 作为 传播 途径 的 计算 机 病毒 。 

该 类 病毒 的 特点 如 下 : 

(1) 电子 邮件 可 以 夹带 任何 类 型 的 文件 ， 夹 带 的 文件 可 能 带 毒 。 

(2) 有 些 计算 机 病毒 ， 能 自动 通过 电子 邮件 进行 传染 、 扩 散 。 

病毒 通过 电子 邮件 传播 ， 具 有 以 下 两 个 特点 : 

(1) 速度 快 ， 范 围 广 。 绝 大 多 数 通过 电子 邮件 传播 的 病毒 都 具有 自我 复制 的 能 力 ， 它 
们 能 够 主动 选择 用 户 邮 箱 地 址 短 中 的 地 址 自动 发 送 邮件 ， 或 在 用 户 发 送 邮件 时 ， 将 被 病毒 
感染 的 文件 附 到 邮件 上 一 起 发 送 。 这 种 成 倍数 增长 的 传播 速度 ， 可 以 使 病毒 在 很 短 的 时 间 
内 遍布 整个 Intermet 领域 。 

(2) 破坏 力 大 。 通 过 电子 邮件 传播 的 病毒 ， 其 攻击 的 对 象 是 整个 计算 机 网 络 ， 因 而 其 
影响 要 远 比 单机 染 毒 更 大 ， 破 坏 性 也 更 强 。 


7.2 恶意 代码 


恶意 代码 是 一 种 程序 ， 它 通常 在 不 被 察觉 的 情况 下 把 代码 寄宿 到 另 一 段 程序 中 ， 从 而 


第 7 章 计算 机 病毒 防治 入 


达到 破坏 被 感染 的 计算 机 数据 、 运 行 具有 入 侵 性 或 破坏 性 的 程序 、 破 坏 被 感染 的 系统 数据 
的 安全 性 和 完整 性 的 目的 。 


7.2.1 常见 的 恶意 代码 
恶意 代码 的 分 类 情况 如 图 7-3 所 示 。 这 些 威胁 可 以 分 成 两 类 ， 需要 宿主 的 程序 和 可 以 


独立 运行 的 程序 。 前 者 实际 上 是 程序 片段 ， 它 们 不 能 脱离 某 些 特定 的 应 用 程序 、 应 用 工具 
或 系统 程序 而 独立 存在 ， 后 者 是 完整 的 程序 ， 操 作 系统 可 以 调用 和 运行 它们 。 


恶意 代码 
需要 宿主 的 程序 可 以 独立 运行 的 程序 


图 7-3 恶意 代码 分 类 示意 图 


也 可 以 把 这 些 软件 威胁 按照 能 不 能 够 自我 复制 来 进行 分 类 。 不 能 够 自我 复制 的 可 能 是 
程序 片段 ， 当 调用 宿主 程序 完成 特定 功能 时 ， 就 会 激活 它们 。 可 以 自我 复制 的 程序 可 能 是 
程序 片段 (病毒)， 也 可 能 是 一 个 独立 的 程序 蠕虫、 细菌 )。 当 执行 它们 时 ， 将 会 复制 出 
一 个 或 多 个 自身 的 副本 ， 之 后 这 些 副 本 可 以 在 同一 个 系统 中 或 其 他 系统 中 被 激活 。 

值得 注意 的 是 ， 随 着 恶意 代码 编写 技术 的 提升 ， 各 种 代码 之 间 都 在 取长补短 ， 所 以 有 
些 恶 意 代 码 可 能 包含 其 他 恶意 代码 。 例 如 ,“ 人 逻辑 炸 弹 ” 或 “特洛伊 木马 ”可 能 是 病毒 或 里 
虫 的 一 部 分 。 

1. 后 门 (Backdoor) 


后 门 又 称 为 陷阱 门 〈Trapdoor)， 是 进入 程序 的 一 个 秘密 入 口 ， 可 以 通过 它 绕 过 访问 控 
制 的 一 般 安全 检查 ， 直 接 获得 访问 权限 。 很 多 年 来 ， 程 序 员 为 了 调试 和 测试 程序 一 直 合 法 
地 使 用 后 门 ， 而 当 这 些 后 门 被 用 来 获取 非 授权 访问 的 权限 时 ， 它 就 变 成 了 一 种 安全 威胁 。 

2. 逻辑 炸弹 (Logic Bomb) 

“逻辑 炸弹 ”潜藏 在 合法 程序 中 ， 当 符合 某 种 条 件 时 就 会 “爆炸 ”用 来 触发 逻辑 炸弹 
的 条 件 可 以 是 某 些 文件 的 出 现 或 缺失 、 某 个 日 期 、 某 一 特定 用 户 运行 该 应 用 程序 等 。 

3. 特洛伊 木马 (Trojan Horse) 

“特洛伊 木马 ”程序 是 一 个 表面 看 起 来 很 有 用 的 程序 或 命令 过 程 ， 其 中 包含 了 秘密 代 
码 。 当 调用 的 时 候 ， 这 些 秘密 代码 将 执行 一 些 不 必要 的 或 有 害 的 操作 。 

当 未 授权 用 户 无 法 直接 完成 某 些 操作 的 时 候 ， 就 可 以 通过 “特洛伊 木马 ”程序 来 间接 
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完成 。 例 如 ， 在 一 个 多 用 户 操 作 系 统 中 ， 如 果 想 访问 其 他 用 户 的 文件 ， 那 么 恶意 用 户 就 可 
以 创建 一 个 “特洛伊 木马 ”程序 ， 当 执行 它 的 时 候 ， 将 改变 用 户 文件 的 访问 权限 。 攻 击 者 
为 了 诱 使 用 户 运行 该 程序 ， 会 把 它 放 在 公共 目录 里 ， 并 给 它 取 一 个 听 起 来 好 象 是 一 个 很 有 
用 的 程序 的 名 字 。 当 另 一 个 用 户 运行 该 程序 后 ， 攻 击 者 就 能 够 访问 该 用 户 的 文件 信息 了 。 
很 难 被 检测 到 的 一 种 “特洛伊 木马 ”程序 就 是 编译 器 。 通 过 修改 正常 的 编译 器 ， 就 可 
以 在 编译 某 些 程序 的 时 候 插 入 附加 代码 ， 如 在 登录 程序 中 留 下 后 门 ， 这 样 攻击 者 就 可 以 使 
用 特殊 的 口令 登录 到 系统 中 。 
4. 病毒 (Virus) 


病毒 是 指 能 够 通过 修改 其 他 程序 而 “感染 ”它们 的 一 种 程序 。 修 改 以 后 的 程序 里 面包 
含 了 病毒 程序 的 一 个 副本 ， 这 样 它 们 就 能 够 继续 感染 其 他 程序 。 

5. 蠕虫 (Worm) 

网 络 蠕虫 通过 网 络 连接 ， 利 用 多 种 方法 从 一 个 系统 向 另 一 个 系统 传播 。 一 旦 在 一 个 系 
统 中 激活 ， 网 络 蠕虫 就 能 够 像 计算 机 病毒 或 细菌 一 样 活动 。 它 也 能 植 入 “特洛伊 木马 ” 程 
序 或 执行 一 些 破 坏 性 动作 。 


7.2.2 ”木马 


1. 木马 病毒 概述 

“特洛伊 木马 ”的 英文 名 称 为 Trojan Horse (其 名 称 取 自 希腊 神话 的 《特洛伊 木马 记 》)， 
是 指 表面 看 上 去 对 人 们 有 用 或 有 趣 ， 但 实际 上 却 有 害 的 东西 ， 并 且 它 的 破坏 性 是 隐蔽 的 。 

计算 机 中 的 木马 是 一 种 基于 远程 控制 的 黑客 工具 ， 采 用 客户 机 /服务 器 工作 模式 。 它 通 
常 包含 控制 端 和 被 控制 端 两 部 分 。 被 控制 端的 木马 程序 一 旦 植 入 受害 者 的 计算 机 简称 宿 
主 ) 中 ， 操 纵 者 就 可 以 在 控制 端 实时 监视 该 用 户 的 一 切 操作 ， 有 的 放 矢 地 窃取 重要 文件 和 
信息 ， 甚 至 还 能 远程 操控 受害 计算 机 对 其 他 计算 机 发 动 攻击 。 木 马 的 控制 端 和 被 控制 端 通 
过 网 络 进 行 交 互 。 

“特洛伊 木马 ”是 一 种 恶意 程序 ， 它 们 悄悄 地 在 寄宿 主机 上 运行 ， 在 用 户 毫 无 察觉 的 
情况 下 ， 让 攻击 者 获得 了 远程 访问 和 控制 系统 的 权限 。 一 般 而 言 ， 大 多 数 “特洛伊 木马 ” 
都 会 模仿 一 些 正规 的 远程 控制 软件 〈 例 如 Symantec 的 pcAnywhere) 的 功能 ， 但 其 独特 之 
处 还 是 很 明显 的 ， 例 如 它 的 安装 和 操作 都 在 隐蔽 之 中 完成 。 攻 击 者 经 常 把 “特洛伊 木马 ” 
隐藏 在 一 些 游戏 或 小 软件 之 中 ， 诱 使 粗心 的 用 户 在 自己 的 机 器 上 运行 。 最 常见 的 情况 是 ， 
上 当 的 用 户 有 的 是 从 不 正规 的 网 站 下 载 和 运行 了 带 恶 意 代 码 的 软件 ， 有 的 是 不 小 心 单 击 了 
带 恶 意 代 码 的 邮件 附件 。 

木马 的 运行 ， 可 以 采用 以 下 3 种 模式 。 

(1) 潜伏 在 正常 的 程序 应 用 中 ， 附 带 执行 独立 的 恶意 操作 。 

(2) 潜伏 在 正常 的 程序 应 用 中 ， 但 会 修改 正常 的 应 用 进行 恶意 操作 。 
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(3) 完全 履 盖 正常 的 程序 应 用 ， 执 行 恶意 操作 。 
2. 木马 的 特点 


木马 具有 隐蔽 性 和 非 授权 性 的 特点 。 

所 谓 隐蔽 性 ， 是 指 木 马 的 设计 者 为 了 防止 木马 被 发 现 ， 会 采用 多 种 手段 隐藏 林 马 。 这 
样 ， 被 控制 端 即使 发 现 感染 了 木马 ， 也 不 能 确定 其 准确 的 位 置 。 

所 谓 非 授权 性 ， 是 指 一 旦 控制 端 与 被 控制 端 连 接 后 ， 控 制 端 将 享有 被 控制 端的 大 部 分 
操作 权限 ， 包 括 修改 文件 、 修 改 注册 表 、 控 制 鼠 标 、 键 盘 等 ， 这 些 权力 并 不 是 被 控制 端 由 
也 的 ， 而 是 通过 木马 程序 窃取 的 。 

3， 木 马 的 工作 过 程 


木马 对 网 络 主机 的 入 侵 过 程 ， 可 大 致 分 为 6 个 步 又 。 

(1) 配置 木马 

一 般 来 说 ， 一 个 设计 成 熟 的 木马 都 有 木马 配置 程序 。 

从 具体 的 配置 和 内 容 来 看 ， 主 要 是 为 了 实现 木马 伪装 和 信息 反馈 两 个 功能 。 

木马 配置 程序 为 了 在 被 控制 端 尽 可 能 地 隐藏 好 木马 ， 会 采用 多 种 伪装 手段 ， 例 如 修改 
图 标 、 捆 绑 文 件 、 定 制 端口 、 自 我 销毁 等 。 

木马 配置 程序 将 就 信息 反馈 的 方式 或 地 址 进行 设置 ， 例 如 设置 信息 反馈 的 邮件 地 址 、 
IRC 号 或 ICQ 号 等 。 

(2) 传播 木马 

木马 的 传播 方式 主要 有 3 种 : 一 种 是 通过 E-mail， 控 制 端 将 木马 程序 以 附件 形式 附着 
在 邮件 上 发 送出 去 ， 收 件 人 只 要 打开 附件 就 会 感染 木马 ， 第 二 种 是 软件 下 载 ， 一 些 非 正规 
的 网 站 以 提供 软件 下 载 的 名 义 ， 将 木马 捆绑 在 软件 安装 程序 上 ， 程 序 下 载 后 只 要 一 运行 这 
些 程序 ， 木 马 就 会 自动 安装 ， 第 三 种 是 通过 即时 通信 软件 (例如 QICQ) 的 “传送 文件 ” 
进行 传播 ， 不 知情 的 网 友 一 旦 打开 带 有 木马 的 文件 就 会 感染 木马 。 

(3) 运行 木马 

被 控制 端 用 户 运行 感染 或 捆绑 木马 的 程序 后 ， 木 马 就 会 自动 进行 安装 。 它 首先 会 将 自 
身 复制 到 Windows 的 系统 文件 夹 中 , 然后 在 注册 表 、 启 动 组 、 非 启动 组 中 设置 好 触发 条 件 ， 
完成 安装 。 

当 木 马 运行 的 触发 条 件 满足 时 ， 木 马 便 被 激活 ， 然 后 进入 内 存 ， 并 开启 事先 定义 好 的 
木马 端口 ， 准 备 与 控制 端 建立 连接 。 

(4) 信息 泄露 

一 般 来 说 ， 设 计 成 熟 的 木马 都 有 一 个 信息 反馈 机 制 。 

所 谓 信息 反馈 机 制 ， 是 指 木马 成 功 安装 后 ， 会 收集 一 些 被 控制 端的 软 、 硬 件 信息 ， 并 
通过 E-mail、IRC 或 ICQ 的 方式 告知 控制 端 用 户 。 

(5) 连接 建立 

一 个 木马 连接 的 建立 ， 首 先 必须 满足 两 个 条 件 : 一 是 被 控制 端 已 安装 了 木马 程序 ;二 
是 控制 端 、 被 控制 端 都 要 在 线 。 在 此 基础 上 ， 控 制 端 可 以 通过 木马 端口 ， 与 被 控制 端 建立 
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(6) 远程 控制 

木马 连接 建立 后 ， 控 制 端 端口 和 木马 端口 之 间 将 会 出 现 一 条 通道 ， 控 制 端 上 的 控制 端 
程序 可 借助 于 这 条 通道 ， 与 被 控制 端 上 的 木马 程序 取得 联系 ， 并 通过 木马 程序 对 被 控制 端 
进行 远程 控制 。 

控制 操作 包括 : 窃取 密码 、 文 件 操作 、 修 改 注册 表 和 系统 操作 等 。 

4. 木马 的 危害 


木马 是 一 种 远程 控制 工具 ， 以 简便 、 易 行 、 有 效 而 深 受 黑客 青睐 。 木 马 主要 以 网 络 为 
依托 进行 传播 ， 窃 取 用 户 隐私 资料 是 其 主要 目的 ;而 且 多 具有 引诱 性 与 欺骗 性 ， 是 病毒 新 
的 危害 趋势 。 

木马 可 以 说 是 一 种 后 门 程序 ， 它 会 在 受害 者 的 计算 机 系统 里 打开 一 个 “后 门 ” 黑客 经 
由 这 个 被 打开 的 特定 “后 门 ” 进 入 系统 ， 然 后 就 可 以 随心 所 欲 地 操纵 计算 机 了 。 那 么 黑客 
通过 木马 进入 到 计算 机 里 后 能 够 做 什么 呢 ? 有 的 木马 具有 捕获 每 一 个 用 户 屏幕 、 每 一 次 击 键 
事件 的 能 力 ; 有 的 木马 能 够 随意 操控 宿主 主机 的 资源 , 例如 2004 年 6 月 发 现 的 “蜜蜂 大 盗 ” 
可 以 打开 主机 上 连接 的 摄像 头 、 麦 克 风 ， 并 将 得 到 的 图 像 、 声 音 传 给 木马 控制 者 ， 有 的 木 
马 能 够 冒充 宿主 主机 的 合法 用 户 进行 诸如 发 送 邮件 、 修 改 文档 ， 甚 至 银行 转账 等 操作 ;有 
的 木马 能 够 捕获 和 分 析 流 经 网 卡 的 每 一 个 数据 包 等 。 感 染 了 木马 的 系统 ， 用 户 的 一 切 秘密 
都 将 暴露 在 别人 面前 ， 隐 私 将 不 复 存在 。 

“特洛伊 木马 ”控制 者 既 可 以 随心 所 欲 地 查看 被 入 侵 的 机 器 ， 也 可 以 用 广播 方式 发 布 
命令 ， 指 示 所 有 在 其 控制 下 的 “特洛伊 木马 ”一 起 行动 ， 或 者 向 更 广泛 的 范围 传播 ， 或 者 
做 其 他 危险 的 事情 。 实 际 上 ， 只 要 用 一 个 预先 定义 好 的 关键 词 ， 就 可 以 让 所 有 被 入 侵 的 机 
器 格式 化 自己 的 硬盘 ， 或 者 向 另 一 台 主 机 发 起 攻击 。 攻 击 者 经 常会 用 “特洛伊 木马 ”侵占 
大 量 的 机 器 ， 然 后 针对 某 一 要 害 主机 发 起 分 布 式 拒绝 服务 攻击 (DDoS )。 

木马 在 黑客 入 侵 中 也 是 一 种 不 可 缺少 的 工具 。 美 国 微软 公司 曾 于 2000 年 10 月 27 日 
宣布 一 名 黑客 入 侵 了 其 门户 网 站 , 而 网 站 的 一 些 内 部 信息 则 是 被 一 种 叫做 QAZ 的 木马 传 出 
去 的 。 

木马 不 仅 是 一 般 黑 客 的 常用 工具 ， 更 是 网 上 情报 刺探 的 一 种 主要 手段 ， 对 国家 安全 造 
成 了 巨大 威胁 。 

我 国 国家 计算 机 网 络 安全 应 急 技术 处 理 协 调 中 心 发 布 的 2007 年 上 半年 网 络 安全 报告 
中 ， 特 别提 到 了 对 国家 安全 造成 严重 危害 的 两 种 网 络 安全 威胁 ， 其 中 之 一 就 是 木马 。 报 告 
指出 ，2007 年 上 半年 我 国 大 陆地 区 大 量 主机 被 境外 植 入 木马 程序 ， 这 些 被 植 入 了 木马 被 控 
制 端的 主机 主要 分 布 在 上 海 、 北 京 和 江苏 ;同时 在 大 陆地 区 外 的 木马 控制 端 有 数 万 个 ， 其 
中 位 于 我 国 台湾 地 区 的 最 多 ， 占 总 数 的 42%， 位 于 美国 的 也 占 了 约 25%。 

在 一 起 网 络 间谍 案 的 调查 过 程 中 ， 我 国有 关 部 门 从 政府 某 部 门 及 其 对 口 地 方 单位 的 计 
算 机 网 络 中 检测 出 了 不 少 特制 的 木马 程序 ， 所 有 入 侵 木马 的 连接 都 指向 境外 的 特定 间谍 机 
构 。 专 业 部 门 进行 检测 时 ， 测 出 的 木马 很 多 还 正在 下 载 、 外 传 资料 ， 专 业 人 员 当 即 采取 措 


第 7 章 计算 机 病毒 防治 和 


施 ， 制 止 了 进一步 的 危害 。 

有 时 网 上 间谍 还 会 运用 社会 工程 学 ， 结 合 电子 邮件 欺骗 植 入 木马 。 曾 经 有 一 个 真实 的 
案例 ， 一 家 涉 密 单位 的 工作 人 员 收 到 了 “上 级 机 关 ” 发 来 的 一 封 电 子 邮 件 ， 内 容 是 “病毒 
木马 检测 程序 ”。 一 看 是 自己 人 ， 来 信 又 正好 对 路 ， 工 作 人 员 没有 多 想 就 打开 信件 ， 运 行 
程序 ， 结 果 境 外 间谍 机 关 的 木马 一 下 植 入 计算 机 中 ， 原 来 所 谓 的 “上 级 机 关 ” 是 境外 网 络 
间谍 假冒 的 。 

很 多 保密 单位 的 内 部 工作 网 是 不 与 互联 网 连接 的 ， 但 有 关 部 门 进 行 安全 检测 时 仍然 从 
中 发 现 了 许多 境外 情报 部 门 的 木马 。 调 查 表明 ， 其 中 一 个 重要 的 途径 便 是 摆渡 攻击 ， 即 利 
用 像 UU 盘 、 移 动 硬盘 之 类 的 移动 介质 。 境 外 间谍 部 门 专门 设计 了 各 种 各 样 的 摆渡 木马 ， 并 
且 搜集 了 我 国 大 量 保密 单位 工作 人 员 的 个 人 网 址 或 邮箱 。 只 要 这 些 人 当中 有 联网 使 用 U 盘 
等 移动 介质 的 ， 捍 渡 木 马 就 会 悄悄 植 入 移动 介质 。 一 旦 这 些 人 违规 在 内 部 工作 网 的 计算 机 
上 插入 U 盘 等 移动 介质 ， 摆 渡 木 马 立刻 就 会 感染 内 网 ， 把 保密 资料 下 载 到 移动 介质 上 。 完 
成 这 样 的 摆渡 后 ， 只 要 使 用 者 再 把 这 个 移动 介质 接 入 联网 计算 机 ， 下 载 的 情报 就 会 自动 传 
到 控制 端的 网 络 间谍 那里 。 

2004 年 国内 危害 最 严重 的 10 种 木马 是 ，QQ 木马 、 网 银 木 马 、MSN 木马 、 传 奇 木马 、 
剑 网 木马 、BOT 系列 木马 、 灰 仙子、 蜜蜂 大 盗 、 黑 洞 木 马 、 广 告 木马 。 这 些 木 马 会 随 着 电 
子 邮件 、 即 时 通信 工具 、 网 页 浏览 等 方式 感染 用 户 计算 机 。 系 统 漏洞 就 像 给 了 木马 一 把 钥 
匙 ， 使 它 能 够 很 轻易 地 在 计算 机 中 潜伏 下 来 ， 达 到 其 窃取 隐私 信息 的 险恶 目的 。 

根据 木马 的 特点 及 其 危害 范围 ， 可 将 其 分 为 针对 网 络 游戏 的 木马 、 针 对 网 上 银行 的 木 
马 、 针 对 即时 通信 工具 的 木马 、 给 计算 机 开 后 门 的 木马 和 推广 广告 的 木马 五 大 类 别 。 

(1) 网 游 木马 。2004 年 ， 针 对 网 络 游戏 的 木马 不 断 涌现 。 究 其 原因 ， 主 要 是 网 络 游 
戏 产 业 超 高 速 发 展 ， 网 上 虚拟 装备 交易 非常 火爆 而 安全 性 却 比 较 薄弱 。 这 就 给 了 一 些 别 有 
用 心 的 病毒 作者 兴风作浪 的 机 会 。 如 果 中 了 针对 网 络 游戏 的 木马 ， 用 户 账号 就 会 被 盗 取 ， 
并 立即 将 账号 中 的 游戏 装备 转移 , 再 由 木马 病毒 使 用 者 卖 出 这 些 被 盗 取 的 游戏 装备 而 获 利 。 
如 今 ， 有 些 人 干脆 以 制作 木马 为 职业 。 

(2) 网 银 木 马 。 网 银 木 马 专门 针对 网 上 银行 发 起 攻击 ,采用 记录 键盘 和 系统 动作 的 方 
法 盗 取 他 人 网 银 的 账号 和 密码 ， 并 发 送 到 作者 指定 的 邮箱 ， 直 接 导 致 用 户 的 经 济 损失 。 目 
前 通过 网 络 银行 的 犯罪 行为 已 经 开始 出 现 , 某 大 学 生 利用 网 络 偷 取 网 络 银行 用 户 60 多 万 元 
人 民 币 ， 还 试图 用 钱 贿赂 办 案 警 察 ， 但 最 终 还 是 受到 了 法 律 的 严惩 。 

(3) 即时 通信 木马 。 该 类 木马 可 以 利用 即时 通信 工具 例如 QQ、MSN) 进行 传播 。 
中 了 木马 后 计算 机 会 下 载 病毒 和 作者 指定 的 任意 程序 ， 其 危害 不 可 确定 。 有 时 也 可 能 会 i 
成 恶作剧 ， 例 如 “MSN 我 要 结婚 ”病毒 ， 中 毒 者 会 向 联系 人 发 送 “ 我 今天 要 结婚 ”的 恶 作 
剧 消息 。 

(4) 后 门 木马 。 该 类 木马 在 网 络 中 被 恶意 者 大 量 传播 。 该 类 木马 采用 反弹 端口 技术 绕 
过 防火 墙 ， 对 被 感染 的 系统 进行 远程 文件 和 注册 表 的 操作 ,可 以 捕获 被 控制 的 计算 机 屏幕 、 
重启 和 关闭 计算 机 、 禁 用 系统 热 键 和 注册 表 编 辑 器 。 中 了 该 类 木马 后 ， 被 感染 的 系统 将 完 
全 控制 在 黑客 手中 。 
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(5) 广告 木马 。 此 类 木马 采用 各 种 技术 隐藏 于 系统 内 ,修改 正 等 网 页 浏览 器 的 主页 ， 
禁止 多 种 系统 功能 ， 收集 系统 信息 发 送 给 传播 广告 木马 的 网 站 。 更 恶毒 的 是 修改 网 页 定向 ， 
导致 一 些 正 常 的 网 站 不 能 登录 .MSN 病毒 就 是 这 种 木马 , 它 诱 使 用 户 单 击 一 个 可 执行 文件 ， 
就 导致 了 900 多 个 网 站 不 能 正常 访问 。 

这 五 大 类 木马 基本 构成 了 木马 的 主体 ， 其 中 网 游 木 马 占 木 马 病毒 总 数 的 32% 以 上 ， 
网 银 木马 占 7%， 即 时 通信 木马 占 23%， 广 告 木马 占 24%， 后 门 木马 占 14%。 从 危害 程度 
来 看 ， 网 游 木马 危害 最 为 严重 ， 其 次 是 广告 森马、 即时 通信 木马 、 后 门 木 马 ， 最 后 是 网 银 
木马 。 

5. 木马 的 检测 和 清除 

可 以 通过 查看 系统 端口 开放 的 情况 、 系 统 服务 情况 、 系 统 任务 运行 情况 、 网 卡 的 工作 
情况 、 系 统 日 志 及 运行 速度 有 无 异常 等 对 木马 进行 检测 ， 检 测 到 计算 机 感染 木马 后 ， 就 要 
根据 木马 的 特征 来 进行 清除 ， 此外， 也 可 查看 是 否 有 可 疑 的 启动 程序 、 可 疑 的 进程 存在 ， 
是 否 修改 了 Win.ini、System.ini 系统 配置 文件 和 注册 表 ， 如 果 存 在 可 疑 的 程序 和 进程 ， 则 
按照 特定 的 方法 进行 清除 。 

(1) 查看 开放 端口 

当前 最 为 常见 的 木马 通常 是 基于 TCP/UDP 协议 进行 客户 端 与 服务 器 端 之 间 通 信 的 , 因 
此 我 们 可 以 通过 查看 在 本 机 上 开放 的 端口 ， 看 是 否 有 可 疑 的 程序 打开 了 某 个 可 疑 的 端口 。 
例如 “冰河 ”木马 使 用 的 监听 端口 是 7626, Back Orifice 2000 使 用 的 监听 端口 是 54320 等 。 
假如 查看 到 有 可 疑 的 程序 在 利用 可 疑 端 口 进行 连接 ， 则 很 有 可 能 就 是 感染 了 木马 。 查 看 端 
口 的 方法 通常 有 以 下 儿 种 : 

@ 使 用 Windows 本 身 自 带 的 netstat 命令 。 

@ ”使 用 Windows 下 的 命令 行 工 具 fport。 

@ 使 用 图 形 化 界面 工具 Active Ports。 

(2) 查看 和 恢复 Win.ini 和 System.ini 系统 配置 文件 

查看 Win.ini 和 System.ini 文件 是 否 有 被 修改 的 地 方 。 例如， 有 的 木马 通过 修改 Win.ini 
文件 中 Windows 节 下 的 “load=file.exe，run=file.exe” 语 句 进行 自动 加 载 ， 还 可 能 修改 
System.ini 中 的 boot 节 ， 实 现 木 马 加 载 。 例 如 ,“ 妖 之 吻 ” 病 毒 将 Windows 系统 的 图 形 界面 
命令 解释 器 “shell=explorer.exe” 修 改 成 “shell=yzw.exe”， 在 计算 机 每 次 启动 后 就 自动 运行 
程序 yzw.exe。 此 时 可 以 把 System.ini 恢复 为 原始 配置 ， 即 将 “shell=yzw.exe ”修改 回 

“shell=explorerexe”， 再 删除 掉 病 毒 文件 即 可 。 

(3) 查看 启动 程序 并 删除 可 疑 的 启动 程序 

如 果木 马 自 动 加 载 的 文件 是 直接 通过 在 Windows 菜单 中 自 定义 添加 的 , 一 般 都 会 放 在 
主 菜单 的 “开始 ”一 “程序 ”一 “启动 ”处 ， 在 Windows 资源 管理 器 里 的 位 置 是 

“C:\Windows\startmenu\programs\ 启 动 ”处 。 通 过 这 种 方式 使 文件 自动 加 载 时 ,一 般 都 会 将 
其 存放 在 注册 表 中 下 述 4 个 位 置 上 : 

© HKEY CURRENT usersoftwaremicrosoftvwindows\currentverslon\explorershellfolders 

© HKEY CURRENT user\'softwaremicrosoft\windows\currentversion\explorer\userShellfolders 
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© HKEY LOCAL machine\softwaremicrosoft\windows\currentversion\explorer\serShellFolders 
© HKEY LOCAL machine\software\microsoft\windows\eurrentversion\exploren\shellfolders 
检查 是 否 有 可 疑 的 启动 程序 ， 便 很 容易 查 到 是 否 感染 了 木马 。 如 果 查 出 有 木马 存在 ， 
则 除了 要 查 出 木马 文件 并 删除 外 ， 还 要 将 木马 自动 启动 程序 删除 。 
(4) 查看 系统 进程 并 停止 可 疑 的 系统 进程 
木马 再 狭 独 ， 也 只 是 一 个 应 用 程序 ， 需 要 进程 来 执行 。 可 以 通过 查看 系统 进程 来 推断 
木马 是 否 存 在 。 在 Windows NT/XP 系统 下 ， 按 Ctrl+AlttDel 键 进 入 任务 管理 器 ， 就 可 看 到 
系统 正在 运行 的 全 部 进程 。 在 Windows 下 ， 可 以 通过 proview 和 winproc 工具 来 查看 进程 。 
在 查看 进程 时 ， 如 果 对 系统 非常 熟悉 ， 对 系统 运行 的 每 个 进程 知道 它 是 做 什么 的 ， 那 么 在 
木马 运行 时 ， 就 能 很 容易 发 现 哪个 是 木马 程序 的 活动 进程 了 。 
在 对 木马 进行 清除 时 ， 首 先 要 停止 木马 程序 的 系统 进程 。 例 如 ，Hack.Rbot 病毒 除了 将 
自身 复制 到 一 些 固定 的 Windows 自 启动 项 中 外 ， 还 在 进程 中 运行 wuamgrd.exe 程序 ， 修 改 
注册 表 ， 以 便 病毒 可 随时 自 启动 。 看 到 有 木马 程序 在 运行 时 ， 需 要 马上 停止 系统 进程 ， 并 
进行 下 一 步 操作 ， 修 改 注册 表 和 清除 木马 文件 。 
(5) 查看 和 还 原 注册 表 
木马 一 旦 被 加 载 ， 一 般 都 会 对 注册 表 进 行 修改 。 通 常 木马 在 注册 表 中 实现 加 载 文件 是 
在 以 下 儿 处 : 
HKEY LOCAL MACHINE\software\microsoft\Wwindows\currentversion\run 
HKEY LOCAL MACHINE\software\microsoft\windows\currentversion\runonce 
HKEY LOCAL MACHINE\software\microsoft\windows\currentversion\runservices 
HKEEY LOCAL MACHINE\softwaremicrosoft\windows\currentversion\runservicesonce 
HKEY _ CURRENT USER\software\microsoft\windows\currentversion\run\runonce 
© HKEY CURRENT USER\software\microsoft\windows\currentversion\runservices 
此 外 ， 在 注册 表 中 的 HKEY_CLASSES_ROOT\exefile\shell\open\command=“%1]”%* 
处 ， 如 果 其 中 的 “%1” 被 修改 为 木马 ， 那 么 每 启动 一 次 该 可 执行 文件 木马 就 会 启动 一 次 。 
查看 注册 表 ， 将 注册 表 中 木马 修改 的 部 分 还 原 。 例 如 ，Hack.Rbot 病毒 已 向 注册 表 的 有 
关 目 录 中 添加 键 值 “MicrosoftUpdate=wuamsgrd.exe”， 以 便 病 毒 可 随机 自 启动 。 这 就 需要 先 
进入 注册 表 ， 将 键 值 “MicrosoftUpdate=wuamsgrd.exe” 删 除 掉 。 值 得 注意 的 是 ， 可 能 有 些 
木马 会 不 允许 执行 .exe 文件 ， 这 时 就 要 先 将 regedit.exe 改 成 系统 能 够 运行 的 形式 ， 如 改 成 
regedit.com。 
(6) 使 用 杀毒 软件 和 木马 查 杀 工具 检测 和 清除 木马 
最 简单 的 检测 和 删除 木马 的 方法 是 安装 木马 查 杀 软 件 ， 例 如 KV 3000、 瑞 星 、 
TheCleaner、“ 木 马克 星 ”、“ 木 马 终结 者 ”等 。 此外, McAfee Virus Scan 和 Anti-TrojanShield 
也 是 不 错 的 木马 查 杀 工具 。McAfee Virus Scan 集合 了 入 侵 防卫 及 防火 墙 技术 ， 为 个 人 计算 
机 和 文件 服务 器 提供 全 面 的 病毒 防护 ，Anti-TrojanShield 是 一 款 享誉 欧洲 的 专业 木马 检测 、 
拦截 及 清除 软件 。 
多 数 情况 下 由 于 杀毒 软件 和 查 杀 工具 的 升级 慢 于 木马 的 出 现 ， 因 此 学 会 手工 查 杀 也 是 
非常 必要 的 。 手 工 查 杀 木 马 的 方法 如 下 : 
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(1) 检查 注册 表 
查看 HKEY_LOCAL MACHINE\software\microsoft\windows\currentversion 和 HKEY_ 
CURRENT _ USER\softwaremicrosoftvwindows\currentversion 下 所 有 以 run 开头 的 键 值 名 下 
有 没有 可 疑 的 文件 名 。 如 果 有 ， 就 需要 删除 相应 的 键 值 ， 再 删除 相应 的 应 用 程序 。 
(2) 检查 启动 组 
虽然 启动 组 不 是 十 分 隐蔽 ， 但 这 里 的 确 是 自动 加 载运 行 的 好 场所 ， 因 此 可 能 有 木马 隐 
藏 其 中 。 启 动 组 对 应 的 文件 夹 为 C:\windows\startmenuprograms\startup， 要 注意 经 常 对 其 进 
行 检查 ， 发 现 木 马 后 及 时 清除 。 
(3) 查看 Win ini 和 System_ini 
Win.ini 以 及 System.ini 也 是 木马 喜欢 的 隐蔽 场所 ， 要 注意 这 些 地 方 。 例 如 ，Winini 的 
Windows 小 节 下 的 load 和 run 后 面 在 正常 情况 下 是 没有 跟 什 么 程序 的 ， 在 这 里 如 果 发 现 有 
程序 就 要 小 心 了 ， 它 很 有 可 能 便 是 木马 被 控制 端 程序 ， 应 尽快 对 其 进行 检查 并 清除 。 


也 很 可 能 隐藏 在 这 里 。 

(5) 查看 可 执行 文件 

如 果 是 由 .exe 文件 启动 ， 那 么 运行 这 个 程序 ， 看 看 木马 是 否 被 装 入 内 存 ， 端 口 是 否 打 
开 。 如 果 是 ， 则 说 明 要 么 是 该 文件 启动 了 木马 程序 ， 要 么 是 该 文件 拥 绑 了 木马 程序 。 最 好 
将 其 删除 ， 再 重新 安装 一 个 这 样 的 程序 。 

6， 木马 的 预防 


目前 木马 已 对 计算 机 用 户 信息 安全 构成 了 极 大 威胁 ， 做 好 木马 的 防范 工作 刻不容缓 ， 
用 户 必 须 提高 警惕 ， 尤 其 是 网 络 游戏 玩家 更 应 该 提高 对 木马 的 关注 。 

网 络 中 流行 的 木马 程序 通常 传播 速度 比较 快 ， 影 响 比 较 严重 ， 因 此 尽管 可 以 利用 一 些 
工具 方法 来 检测 、 清 除 木 马 ， 但 只 能 是 亡羊补牢 ， 比 较 被 动 。 当 然 最 好 的 情况 是 不 出 现 木 
马 ， 这 就 要 求 我 们 平时 要 有 对 木马 的 预防 意识 和 措施 ， 做 到 防 患 于 未 然 。 以 下 是 儿 种 简单 
适用 的 木马 预防 方法 和 措施 : 

(1) 不 随意 打开 来 历 不 明 的 电子 邮件 ， 阻 塞 可 疑 邮 件 

现在 许多 木马 都 是 通过 电子 邮件 来 传播 的 ， 当 收 到 来 历 不 明 的 邮件 时 , 不 要 轻易 打开 ; 
并 加 强 邮 件 监 控 系 统 ， 拒 收 垃圾 邮件 。 可 通过 设置 邮件 服务 器 和 客户 端 来 阻塞 带 有 可 疑 附 
件 的 邮件 ， 例 如 附件 的 扩展 名 与 恶意 代码 有 关联 (例如 .pif、.vbs), 或 是 带 有 复合 扩展 名 的 
可 疑 邮件 〈 例 如 .txtvbs、.htm.exe 等 )。 

(2) 不 随意 下 载 来 历 不 明 的 软件 

最 好 是 在 一 些 知名 的 网 站 下 载 软件 ， 不 要 下 载 和 运行 那些 来 历 不 明 的 软件 。 在 安装 软 
件 之 前 ， 最 好 用 杀毒 软件 查看 有 没有 病毒 ， 然 后 再 安装 。 

(3) 及 时 修补 漏洞 和 关闭 可 疑 的 端口 

一 般 木 马 都 是 通过 漏洞 在 系统 上 打开 端口 留 下 后 门 的 ， 在 修补 漏洞 的 同时 要 对 端口 进 
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行 检查 ， 把 可 疑 的 端口 关闭 。 

(4) 尽量 少 用 共享 文件 夹 

尽量 少 用 共享 文件 来， 如 果 必 须 使 用 ， 则 应 设置 账号 和 密码 保护 。 千 万 不 要 将 系统 目 
录 设 置 成 共享 ， 最 好 将 系统 下 默认 共享 的 目录 关闭 。 
注意 : Windows 系统 在 默认 情况 下 将 目录 设置 成 共享 状态 。 


(5) 运行 实时 监控 程序 
在 上 网 时 最 好 运行 反 木 马 实时 监控 程序 和 个 人 防火 墙 ， 并 定时 对 系统 进行 病毒 检测 。 
(6) 经 常 升级 系统 和 更 新 病毒 库 
经 常 关注 厂商 网 站 的 安全 公告 ， 因 为 这 些 网 站 通常 都 会 及 时 地 将 漏洞 、 木 马 和 更 新 公 
布 出 来 ， 并 在 第 一 时 间 发 布 补丁 和 新 的 病毒 库 等 。 
(7) 限制 使 用 不 必要 的 具有 传输 能 力 的 文件 
限制 使 用 诸如 点 对 点 传输 软件 、 音 乐 共享 软件 、 即 时 通信 软件 等 ， 因 为 这 些 程序 经 常 
被 用 来 传播 恶意 代码 。 


7.2.3 蠕虫 


网 络 蠕虫 作为 对 互联 网 危害 严重 的 一 种 计算 机 程序 ， 其 破坏 力 和 传染 性 不 容 忽视 。 与 
传统 的 病毒 不 同 ， 里 虫 病毒 以 计算 机 为 载体 ， 以 网 络 为 攻击 对 象 。 

1. 蠕虫 的 定义 

计算 机 病毒 自 出 现 之 日 起 ， 就 成 为 计算 机 系统 的 一 个 巨大 威胁 ， 而 当 网 络 迅速 发 展 的 
时 候 ， 里 虫 病毒 引起 的 危害 开始 显现 。 

蠕虫 病毒 和 普通 病毒 有 着 很 大 的 区 别 。 普 通病 毒 是 需要 寄生 的 ， 它 可 以 通过 自身 指令 
的 执行 , 将 自己 的 指令 代码 寄宿 到 其 他 程序 体内 ， 而 被 感染 的 文件 就 被 称 为 “宿主 ”宿主 
程序 执行 的 时 候 ， 就 可 先 执行 病毒 程序 ， 病 毒 程序 运行 完 之 后 ， 青 把 控制 权 交 给 宿主 原来 
的 程序 指令 。 由 此 可 见 ， 普 通病 毒 主要 是 感染 文件 和 引导 区 ， 而 蠕虫 则 是 一 种 通过 网 络 进 
行 传播 的 恶性 代码 。 它 具有 普通 病毒 的 一 些 共 性 ， 例 如 传播 性 、 隐 蔽 性 、 破 坏 性 等 ， 同 时 
也 具有 一 些 自己 的 特征 ， 例 如 不 利用 文件 寄生 、 可 对 网 络 造成 拒绝 服务 、 与 黑客 技术 相 结 
合 等 。 蠕 虫 的 传染 目标 是 网 络 内 的 所 有 计算 机 。 在 破坏 性 上 ， 蠕 虫 病 毒 也 不 是 普通 病毒 所 
能 比 的 ， 网 络 的 发 展 使 得 蠕虫 可 以 在 短 短 的 时 间 内 蔓延 到 整个 网 络 ， 造 成 网 络 瘫痪 。 蜂 虫 
病毒 与 一 般 病毒 的 区 别 如 表 7-1 所 示 。 

表 7-1 蠕虫 病毒 与 一 般 病毒 的 区 别 


存在 形式 寄存 文件 独立 程序 


传染 机 制 主动 攻击 
传染 目标 本 地 文件 网 络 计 算 机 
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2. 蠕虫 的 分 类 


(1) 根据 使 用 者 情况 的 不 同 , 可 将 蠕虫 病毒 分 为 两 类 ， 即 面向 企业 用 户 的 蠕虫 病毒 和 
面向 个 人 用 户 的 蠕虫 病毒 。 
面向 企业 用 户 的 蠕虫 病毒 利用 系统 漏洞 ， 主 动 进行 攻击 ， 可 以 对 整个 网 络 造 成 瘫痪 
性 的 后 果 ， 以 “红色 代码 ””“ 尼 姆 达 ”“SQL 蠕虫 王 ” 为 代表 ; 面向 个 人 用 户 的 蠕虫 病毒 
通过 网 络 (主要 是 电子 邮件 、 恶 意 网 页 形式 等 ) 迅速 传播 ， 以 “ 爱 虫 人 “求职 信 ” 蠕 虫 为 
代表 。 

在 这 两 类 蠕虫 病毒 中 ， 第 一 类 具有 很 大 的 主动 攻击 性 ， 而 且 发 作 也 有 一 定 的 突然 性 ， 
但 相对 来 说 ， 查 杀 这 种 蠕虫 并 不 很 难 ， 第 二 种 蠕虫 的 传播 方式 比较 复杂 和 多 样 ， 少 部 分 利 
用 了 微软 的 应 用 程序 漏洞 ， 大 部 分 是 利用 社会 工程 学 (Social Engineering) 陷阱 对 用 户 进行 
欺骗 和 诱 使 ， 这 样 的 蠕虫 造成 的 损失 是 非常 大 的 ， 同 时 也 是 很 难 根 除 的 。 例 如 ,， “求职 信 ” 
里 虫 在 2001 年 就 已 经 被 各 大 杀毒 厂商 发 现 ， 但 直到 2002 年 底 依然 处 于 蠕虫 危 害 排行 榜 的 
首位 。 

(2) 按 其 传播 和 攻击 特征 ， 可 将 蠕虫 病毒 分 为 3 类 ， 即 漏洞 蠕虫 、 邮 件 蠕 虫 和 传统 蠕 
虫 病毒 。 

其 中 以 利用 系统 漏洞 进行 破坏 的 蠕虫 病毒 最 多 ， 占 蠕虫 病毒 总 数量 的 69%; 邮件 蠕虫 
居 第 二 位 ， 占 蠕虫 病毒 总 数量 的 27%; 其 他 传统 蠕虫 病毒 点 4%。 

蜂 虫 病毒 可 以 造成 互联 网 大 面积 次 病 ， 引 起 邮件 服务 器 堵塞 ， 最 主要 的 症状 表现 在 用 
户 浏览 不 了 互联 网 ， 或 者 企业 用 户 接收 不 了 邮件 。 例 如 ，2004 年 爆发 的 “震荡 波 ” 病 毒 造 
成 了 互联 网 大 面积 瘫痪 ， 众 多 用 户 无 法 使 用 互联 网 ;“ 五 毒 虫 ”蠕虫 病毒 可 以 堵塞 企业 邮件 
服务 器 ， 造 成 邮件 病毒 泛滥 。 

漏洞 蠕虫 可 利用 微软 的 系统 漏洞 进行 传播 ， 主 要 是 SQL 漏洞 、RPC 漏洞 和 LSASS 漏 
洞 ， 其 中 RPC 漏洞 和 LSASS 漏洞 最 为 严重 。 漏 洞 蠕虫 极 具 危害 性 ， 大 量 的 攻击 数据 堵塞 
网 络 ， 并 可 造成 被 攻击 系统 不 断 重启 、 系 统 速度 变 慢 等 故障 。 漏 洞 蠕虫 的 特性 若 被 集成 到 
黑客 病毒 ， 造 成 的 危害 就 更 大 了 。 

邮件 蠕虫 主要 通过 电子 邮件 进行 传播 。 邮 件 蠕虫 使 用 自己 的 SMTP 引擎 ， 将 病毒 邮件 
发 送 给 搜索 到 的 邮件 地 址 。 邮 件 蠕虫 还 能 利用 正 漏洞 ， 使 用 户 在 没有 打开 附件 的 情况 下 感 
染病 毒 。 最 新 的 MYDOOM 变种 AH 甚至 能 利用 正 漏洞 , 使 病毒 邮件 不 再 需要 附件 就 可 感 
染 用 户 。 


3. 蠕虫 的 基本 结构 


蠕虫 的 基本 程序 结构 包含 传播 模块 、 隐 藏 模块 和 目的 功能 模块 。 

(1) 传播 模块 。 该 模块 的 功能 是 负责 蠕虫 的 传播 。 传播 模块 又 可 以 分 为 3 个 基本 模块 ， 
即 扫描 模块 、 攻 击 模块 和 复制 模块 。 

(2) 隐藏 模块 。 该 模块 的 功能 是 病毒 侵入 主机 后 ， 隐 藏 蠕虫 程序 ， 防 止 被 用 户 发 现 。 

(3) 目的 功能 模块 。 该 模块 的 功能 是 实现 对 计算 机 的 控制 、 监 视 或 破坏 等 。 
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4. 蠕虫 的 传播 


局 域 网 条 件 下 的 共享 文件 夹 、 电 子 邮 件 和 网 络 中 的 恶意 网 页 、 大 量 存 在 着 漏洞 的 服务 
器 等 都 成 为 蠕虫 传播 的 途径 。 网 络 的 发 展 也 使 得 蠕虫 病毒 可 以 在 几 个 小 时 内 蔓延 到 全 球 ， 
而 且 蠕 虫 的 主动 攻击 性 和 突然 爆发 性 将 使 得 人 们 束手无策 。 

蠕虫 程序 的 一 般 传 播 过 程 如 下 : 

(1) 扫描 。 由 蠕虫 的 扫描 功能 模块 负责 收集 目标 主机 的 信息 ， 寻 找 可 利用 的 漏洞 或 弱 
点 。 当 程序 向 某 个 主机 发 送 探测 漏洞 的 信息 并 收 到 成 功 的 反馈 信息 后 ， 就 得 到 一 个 可 传播 
的 对 象 。 扫 描 采 用 的 技术 方法 包括 用 扫描 器 扫描 主机 ， 探 测 主 机 的 操作 系统 类 型 、 主 机 名 、 
和 户 名 、 开 放 的 端口 、 开 放 的 服务 、 开 放 的 服务 器 软件 版 本 等 。 
(2) 攻击 。 攻 击 模块 按 步 又 自动 攻击 前 面 扫描 中 找到 的 对 象 ， 取 得 该 主机 的 权限 (一 
股 为 管理 员 权 限 )， 获 得 一 个 Shell。 

(3) 复制 。 复 制 模块 通过 原 主 机 和 新 主机 的 交互 将 蠕虫 程序 复制 到 新 主机 中 并 启动 。 

5. 蠕虫 的 破坏 性 

1988 年 ， 一 个 由 美国 某 大 学 研究 生 莫 里 斯 编写 的 蠕虫 病毒 首次 现 身 网 络 并 迅速 蔓延 ， 
造成 数 千 台 计算 机 停机 ， 而 后 来 的 “红色 代码 和 “ 尼 姆 达 病 毒 ”疯狂 时 ， 曾 造成 几 十 亿美 
元 的 损失 ;2003 年 初 ， 一 种 名 为 “SQL 蠕虫 王 ”的 病毒 迅 速 传 播 并 袭击 了 全 球 ， 致 使 互联 
网 严重 堵塞 ， 作 为 互联 网 主要 基础 的 域名 服务 器 DNS 受到 侵 柳 ,而 网 民 浏览 互联 网 网 页 及 
收发 电子 邮件 的 速度 大 幅 降低 ， 同 时 银行 自动 取款 机 运行 中 断 ， 网 络 机 票 预订 系统 运行 中 
断 ， 信 用 卡 收 付款 系统 出 现 故障 等 。 据 专家 估计 ， 此 次 病毒 造成 的 直接 经 济 损失 至 少 在 26 
亿美 元 以 上 。 由 此 可 见 ， 蠕 虫 病毒 对 网 络 具 有 严重 的 破坏 性 ， 并 造成 巨大 的 经 济 损失 。 

表 7-2 列 出 了 一 些 有 代表 性 的 蠕虫 的 发 作 时 间 及 其 破坏 性 。 

表 7-2 著名 蠕虫 病毒 的 发 作 时 间 和 破坏 性 
特点 及 造成 损失 

6000 多 台 计 算 机 停机 ， 直 接 经 济 损失 高 达 9600 万 美元 
政府 部 门 和 一 些 大 公司 紧急 关闭 了 网 络 服 务 器 , 经 济 损失 超过 12 亿美 元 
众多 用 户 计 算 机 被 感染 ， 损 失 超 过 100 亿美 元 以 上 
网 络 瘫痪 ， 直 接 经 济 损失 超过 26 亿美 元 
通过 电子 邮件 、 网 络 共享 、IIS 漏洞 和 网 络 浏览 等 多 途径 传播 ， 造 成 众多 
网 络 竣 痪 
大 量 病毒 邮件 堵塞 服务 器 ， 损 失 达 数 百 亿美 元 
网 络 大 面积 瘫痪 ， 银 行 自动 取款 机 运行 中 断 ， 直 接 经 济 损失 超过 26 亿 
美元 
利用 RPC 漏洞 传播 ， 并 相继 出 现 了 病毒 变种 和 一 系列 利用 RPC 漏洞 传 


病毒 名 称 | 发 作 时 间 
英里 斯 蠕虫 | 1988 年 
美丽 莎 1999 年 
爱 虫 病毒 2000 年 5 月 
红色 代码 2001 年 8 月 


尼 姆 达 2001 年 9 月 


求职 信 2001 年 10 月 


SQL 蠕虫 王 |2003 年 1 月 


冲击 波 |2003 年 8 月 。 | 播 的 病毒 。 数 日 内 ， 国 内 数 百 万 台 计算 机 被 攻击 
三 天 现 第 二 个 变种 ， ‘性 超过 “冲击 波 ” 病 毒 ， 全 到 | 
名 交 小 。 |2004 各 月 1 中 | 三 天 内 出 现 第 二 个 变种 ， 破 坏 性 超过 “ 训 击 波 ” 病 毒 ， 全 球 各 地 上 百 万 


用 户 遭 到 攻击 ， 并 造成 重大 损失 


多 计算 机 网 络 安全 技术 与 应 用 

表 7-2 所 列 出 的 蠕虫 病毒 中 ,“ 爱 虫 ” 蜂 虫 病毒 开创 了 在 局 域 网 内 主动 扫描 传播 的 新 方 
式 ;“ 红 色 代码 ”蠕虫 病 毒 开 创 了 利用 微软 系统 漏洞 传播 病毒 的 先河 ;而 “ 尼 姆 达 ” 和 “ 震 
荡 波 ”蠕虫 病毒 则 综合 了 以 上 两 种 方式 ， 成 为 超级 病毒 。 

6 蠕虫 的 特点 


通过 对 以 上 蠕虫 病毒 的 分 析 ， 可 见 蠕虫 病毒 具有 以 下 特点 。 

(1) 传播 迅速 ， 难 以 清除 。 一 旦 某 台 计 算 机 感染 了 蠕虫 病毒 ， 在 短 时 间 内 ， 几 乎 网 络 
上 所 有 的 计算 机 都 会 被 依次 传染 ， 同 时 网 络 出 现 各 种 异常 状况 甚至 发 生 阻塞 ， 严 重 影 响 网 
络 的 正常 使 用 ， 而 且 系统 感染 这 些 病 毒 后 ， 很 难 清除 。 

(2) 利用 操作 系统 和 应 用 程序 的 漏洞 主动 进行 攻击 。 此 类 蠕虫 主要 是 “红色 代码 入 
“ 尼 姆 达 ” 和 “震荡 波 ” 等 。 由 于 正 浏览 器 的 漏洞 ， 使 得 感染 了 “ 尼 姆 达 ” 蠕 虫 的 邮件 在 
不 用 手工 打开 附件 的 情况 下 病毒 就 能 激活 ， 而 此 前 即便 是 很 多 防 病毒 专家 也 一 直 认 为 ， 只 
要 不 去 打开 带 有 病毒 附件 的 邮件 ， 病 毒 就 不 会 有 危害 。“ 红色 代码 ”利用 微软 IS 服务 器 软 
件 的 idq.dll 远程 缓存 区 溢出 漏洞 来 传播 ,“ 震 荡 波 ” 病 毒 利用 微软 操作 系统 漏洞 LSASS 进 
行 攻击 ,“SQL 蜂 虫 王 ” 病 毒 则 是 利用 微软 的 数据 库 系统 的 一 个 漏洞 进行 大 肆 攻 击 。 

(3) 传播 方式 多 样 。 一 些 蠕 虫 可 利用 的 传播 途径 包括 文件 、 电 子 邮 件 、Web 服务 器 、 

(4) 病毒 制作 技术 与 传统 的 病毒 不 同 。 许 多 新 的 蠕虫 病毒 是 利用 当前 最 新 的 编程 语言 
与 编程 技术 实现 的 ， 易 于 修改 以 产生 新 的 变种 ， 从 而 躲避 防 病毒 软件 的 搜索 。 另 外 ， 新 病 
毒 利用 JavaScript、ActiveX、VB Script 等 技术 ， 可 以 潜伏 在 HTML 页面 中 ， 在 用 户 上 网 浏 
览 时 触发 。 

(5) 与 黑客 技术 相 结合 。 蠕 虫 和 黑客 技术 的 结合 ， 使 得 对 蠕虫 的 分 析 、 检 测 和 防范 具 
有 一 定 的 难度 。 以 “红色 代码 ”蠕虫 病毒 为 例 ， 被 感染 机 器 的 Web 目录 \scripts 下 将 生成 一 
个 root.exe， 可 以 远程 执行 任何 命令 ， 从 而 使 黑客 能 够 再 次 进入 ， 潜 在 的 威胁 和 损失 更 大 。 

7. 蠕虫 病毒 的 防范 

与 普通 病毒 不 同 ， 蠕 虫 病毒 往往 能 够 利用 漏洞 来 入 侵 、 传 播 。 这 里 的 漏洞 (或 者 说 是 
缺陷 ) 分 为 软件 缺陷 和 人 为 缺陷 两 类 。 软 件 缺陷 〈 例 如 远程 溢出 、 微 软 正 和 Outlook 的 自 
动 执行 漏洞 等 ) 需要 软件 厂商 和 用 户 共同 配合 ， 不 断 地 升级 软件 来 解决 。 人 为 缺陷 主要 是 
指 计算 机 用 户 的 玻 忽 。 当 收 到 一 封 带 有 病毒 的 求职 邮件 时 ， 大 多 数 人 都 会 去 单 击 ， 这 就 是 
所 谓 的 社会 工程 学 。 对 于 企业 用 户 来 说 ， 威 胁 主要 集中 在 服务 器 和 大 型 应 用 软件 上 ;而 对 
个 人 用 户 ， 主 要 是 防范 第 二 种 缺陷 。 

(1) 企业 类 蠕虫 病毒 的 防范 

2002 年 7 月 ， 微 软 的 安全 公告 中 就 对 “SQL 蠕虫 ”病毒 利用 的 漏洞 作 了 详细 的 说 明 ， 
而 且 微软 也 提供 了 安全 补丁 程序 ， 然 而 在 病毒 发 作 时 还 是 有 相当 多 的 服务 器 没有 安装 最 新 
的 补丁 ， 其 网 络 管理 员 的 安全 防范 意识 可 见 一 斑 。 

当前 ， 企 业 网 络 主要 应 用 于 文件 和 打印 服务 共享 、 办 公 自 动 化 系统 、 企 业 管 理 信息 系 
统 MIS、Intemet 应 用 等 领域 。 网 络 具有 便利 的 信息 交换 特性 ， 蠕 虫 病毒 也 可 以 充分 利用 网 
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络 快速 传播 以 达到 其 阻塞 网 络 的 目的 。 企 业 在 充分 利用 网 络 进 行业 务 处 理 的 同时 ， 也 要 考 
虑 病毒 的 防范 问题 ， 以 保证 关系 企业 命运 的 业务 数据 的 完整 性 和 可 用 性 。 

企业 防治 蠕虫 病毒 需要 考虑 病毒 的 查 杀 能 力 、 病 毒 的 监控 能 力 和 新 病毒 的 反应 能 力 等 
儿 个 问题 。 而 企业 防 病 毒 的 一 个 重要 方面 就 是 管理 策略 ， 现 建议 企业 防范 蠕虫 病毒 的 策略 
如 下 : 

@ 加 强 网 络 管理 员 的 安全 管理 水 平 ,提高 安全 意识 。 由 于 蠕虫 病毒 利用 的 是 系统 漏洞 ， 
所 以 需要 在 第 一 时 间 保 持 系 统 和 应 用 软件 的 安全 性 , 保持 各 种 操作 系统 和 应 用 软件 的 更 新 。 
由 于 各 种 漏洞 的 出 现 ， 使 得 安全 问题 不 再 是 一 劳 永 逸 的 事 ， 而 作为 企业 用 户 而 言 ， 所 经 受 
攻击 的 危险 也 是 越 来 越 大 ， 要 求 企业 的 管理 水 平和 安全 意识 也 越 来 越 高 。 

@ 建立 病毒 检测 系统 ， 能 够 在 第 一 时 间 内 检测 到 网 络 的 异常 和 病毒 的 攻击 。 

@ 建立 应 急 响 应 系统 ， 将 风险 降 到 最 低 。 由 于 蠕虫 病毒 爆发 的 突然 性 ， 可 能 在 病毒 发 
现 的 时 候 已 经 营 延 到 了 整个 网 络 ， 所 以 建立 一 个 紧急 响应 系统 是 很 有 必要 的 ， 在 病毒 爆发 
的 第 一 时 间 即 能 提供 解决 方案 。 

@ 建立 备份 和 容 灾 系统 ， 对 于 数据 库 和 数据 系统 ， 必 须 采 用 定期 备份 、 多 机 备份 和 容 
灾 等 措施 ， 防 止 意外 灾难 下 的 数据 丢失 。 

(2) 个 人 用 户 蠕虫 病毒 的 分 析 和 防范 

对 于 个 人 用 户 而 言 ， 威 胁 大 的 蠕虫 病毒 一 般 采取 电子 邮件 和 恶意 网 页 传播 方式 。 这 些 
蠕虫 病毒 对 个 人 用 户 的 威胁 最 大 ， 同 时 也 最 难以 根除 ， 造 成 的 损失 也 更 大 。 

对 于 利用 电子 邮件 传播 的 蠕虫 ， 通 常 利用 的 是 社会 工程 学 欺骗 ， 即 以 各 种 各 样 的 欺骗 
手段 诱惑 用 户 单 击 的 方式 进行 传播 。 确 切 地 说 ， 恶 意 网 页 是 一 段 黑客 代码 程序 ， 它 内 霸 在 
网 页 中 ， 当 用 户 在 不 知情 的 情况 下 将 其 打开 时 ， 病 毒 就 会 改作 。 这 种 病毒 代码 内 嵌 技 术 的 
原理 并 不 复杂 ， 所 以 能 够 很 容易 地 被 利用 。 在 很 多 黑客 网 站 中 竟然 出 现 了 关于 用 网 页 进行 
破坏 的 技术 论坛 ， 并 提供 破坏 程序 代码 下载， 从 而 造成 了 恶意 网 页 的 大 面积 泛滥 ， 也 使 越 
来 越 多 的 用 户 遭 受 损失 。 

通过 上 述 的 分 析 可 知 ， 病 毒 并 不 是 非常 可 怕 的 ， 网 络 蠕虫 对 个 人 用 户 的 攻击 主要 还 是 
通过 社会 工程 学 ， 而 不 是 利用 系统 漏洞 ， 所 以 防范 此 类 病毒 需要 注意 以 下 几 点 。 

(1) 购买 合适 的 杀毒 软件 。 

(2) 经 常 升 级 病毒 库 。 

(3) 提高 防 杀 病 毒 意识 。 

(4) 不 随意 查看 陌生 邮件 ， 尤 其 是 带 有 附件 的 邮件 。 


7.3 ”计算 机 病毒 的 检测 与 清除 


目前 病毒 的 破坏 力 越 来 越 强 ， 儿 乎 所 有 的 软 、 硬 件 故障 都 可 能 与 病毒 有 率 连 。 所 以 ， 
当 操 作 时 发 现 计算 机 有 异常 情况 ， 首 先 应 怀疑 的 就 是 病毒 在 作怪 ， 而 最 佳 的 解决 办 法 就 是 
利用 杀毒 软件 对 计算 机 进行 一 次 全 面 的 清查 。 


计算 机 网 络 安全 技术 与 应 用 


7.3.1 计算 机 病毒 的 传播 途径 


计算 机 病毒 是 通过 某 个 入 侵 点 进入 系统 进行 传染 的 。 最 常见 的 入 侵 点 是 从 工作 站 传 到 
工作 站 的 软盘 或 U 盘 等 移动 存储 设备 。 在 网 络 中 可 能 的 入 侵 点 还 有 服务 器 、E-mail、BBS 
上 下 载 的 文件 、WWW 站 点 、FTP 文件 下 载 、 网 络 共享 文件 及 常规 的 网 络 通信 、 盗 版 软件 、 
示范 软件 、 计 算 机 实验 室 和 其 他 共享 设备 。 

病毒 传播 进入 系统 的 途径 主要 有 以 下 3 种 : 

1. 通过 计算 机 网 络 进行 传播 

现代 信息 技术 的 巨大 进步 已 使 空间 距离 不 再 遥远 ,“ 相 隔 天 涯 ， 如 在 丸 尺 ” 但 也 为 计 
算 机 病毒 的 传播 提供 了 新 的 “高 速 公路 ”。 计 算 机 病毒 可 以 附着 在 正常 文件 中 ,通过 网 络 进 
入 一 个 又 一 个 系统 ， 尤 其 服务 器 是 网 络 的 整体 或 部 分 核心 ， 一 旦 其 关键 文件 被 感染 ， 再 通 
过 服务 器 的 扩散 ， 病 毒 将 会 对 系统 造成 巨大 的 破坏 。 在 信息 国际 化 的 同时 ， 病 毒 也 在 国际 
化 ， 国 内 计算 机 感染 一 种 “进口 ”病毒 已 不 再 是 什么 大 惊 小 怪 的 事 了 。 

这 种 方式 已 成 为 计算 机 病毒 的 第 一 大 传播 途径 。 

2. 通过 移动 存储 设备 来 进行 传播 

移动 存储 设备 包括 软盘 、 人 磁带 、U 盘 、 光 盘 、MP3、MP4 和 移动 硬盘 等 。 这 些 设备 是 
使 用 最 广泛 、 移 动 最 频繁 的 存储 介质 ， 因 此 也 成 了 计算 机 病毒 寄生 的 “温床 ”。 

3. 通过 通信 系统 进行 传播 

通过 点 对 点 通信 系统 和 无 线 通信 信道 , 也 可 以 传播 计算 机 病毒 。 目前 出 现 的 手机 病毒 ， 
就 是 利用 无 线 信道 进行 传播 的 。 


7.3.2 计算 机 病毒 防治 管理 措施 


当 病 毒 影响 到 社会 的 正常 秩序 ， 和 危害 到 国家 的 安全 时 ， 必 须 有 相关 的 法 律 法 规 和 管理 
制度 来 规范 人 们 的 行为 ,起 到 威 慨 作 用 ， 并 依法 追究 秘 事 者 的 法 律 责 任 。 早 在 1984 年 , 美 
国 国会 就 通过 了 计算 机 欺骗 与 滥用 法 令 条 文 。 我 国 于 1994 年 颁布 了 《中 华人 民 共 和 国 计 算 
机 信息 系统 安全 保护 条 例 》， 其 中 规定 “故意 输入 计算 机 病毒 以 及 其 他 有 害 数据 ， 危害 计算 
机 信息 安全 的 ， 要 对 个 人 和 单位 处 以 高 额 罚款 ， 并 依法 追究 刑事 责任 ”。1997 年 出 台 的 新 
《刑法 》 中 ， 增 加 了 有 关 对 制作 、 传 播 计算 机 病毒 进行 处 罚 的 条 款 。2000 年 5 月 ， 公 安 部 
颁布 实施 了 《计算 机 病毒 防治 管理 办 法 》， 进 一 步 加 强 了 我 国 对 计算 机 病毒 的 预防 和 控制 
工作 。 同 时 ， 为 了 保证 计算 机 病毒 防治 产品 的 质量 ， 保 护 计 算 机 用 户 的 安全 ， 公 安 部 建立 
了 计算 机 病毒 防治 产品 检验 中 心 ， 并 先后 颁布 了 中 华人 民 共和 国 公共 安全 行业 标准 《DOS 
环境 下 计算 机 病毒 的 检测 方法 》(GA 135 一 1996) 和 《计算 机 病毒 防治 产品 评级 准则 》(GA 
243 一 2000)。 这 些 法 律 法 规 和 制度 的 制定 和 实施 对 于 规范 计算 机 和 网 络 环境 、 防 范 病毒 起 


第 7 章 计算 机 病毒 防治 各 
到 了 积极 的 作用 。 


除了 网 络 和 移动 存储 设备 外 ， 大 量 的 盗版 软件 和 盗版 光盘 也 成 为 病毒 在 我 国 广泛 流行 
的 主要 和 载体， 计算机 软件 市 场 的 混乱 ， 软 件 、 游 戏 的 非法 复制 是 病毒 泛滥 的 根源 之 一 。 因 
此 ， 打 击 盗版 ， 加 强 软件 市 场 管理 不 仅 是 我 国 精神 文明 建设 的 重要 内 容 ， 而 且 成 为 我 国防 
止 病毒 传播 、 净 化 网 络 和 计算 机 环境 的 一 个 重要 方面 。 同 时 ， 也 要 加 强 计 算 机 安全 的 教育 ， 
宣传 计算 机 病毒 的 危害 ， 普 及 预防 计算 机 病毒 的 基本 知识 ， 提 高 系统 管理 人 员 和 每 个 计算 
机 使 用 人 员 对 病毒 的 认识 和 防治 的 意识 ; 其 次 ， 强 化 管理 制度 ， 建 立 计算 机 硬件 和 软件 系 
统 的 使 用 、 维 护 、 备 份 和 病毒 报告 等 各 个 环节 的 安全 规章 制度 ， 最 后 ， 要 积极 采取 各 种 病 
毒 预防 、 检 测 和 消除 的 技术 措施 。 


7.3.3 病毒 预防 


病毒 预防 是 指 根据 系统 特性 ， 采 取 相 应 的 系统 安全 措施 预防 病毒 侵入 计算 机 系统 。 下 
面 汇 总 一 系列 简单 有 效 的 措施 ， 以 供 参考 。 

计算 机 病毒 都 是 有 一 定 源头 的 ， 之 所 以 能 造成 广泛 的 危害 ， 就 在 于 它 能 进行 广泛 的 传 
播 。 因 此 ， 对 于 普通 的 计算 机 用 户 来 说 ， 只 要 平时 多 注意 些 ， 还 是 可 以 在 一 定 程度 上 避免 
病毒 入 侵 的 。 

下 面 将 介绍 预防 计算 机 病毒 应 注意 的 一 些 事项 。 

1. 使 用 正版 软件 

盗版 软件 是 病毒 传播 的 主要 渠道 ， 市 场 上 多 次 转手 、 来 历 不 明 的 软件 最 有 可 能 因 缺 少 
检测 而 成 为 各 种 病毒 的 绝 好 载体 和 传染 源 。 

2. 从 可 靠 渠道 下 载 软件 

目前 网 上 提供 有 许多 免费 软件 、 共 享 软件 ， 但 不 要 盲目 地 下 载 ， 一 定 要 到 有 名 的 大 网 
站 《最 好 是 该 软件 生产 商 自 己 的 网 站 ) 上 下 载 ， 因 为 有 些 无 名 小 网 站 的 免费 下 载 软件 很 难 
保证 没有 被 病毒 感染 。 一 般 情况 下 ,在 安装 之 前 要 对 下 载 的 软件 进行 病毒 扫描 ， 以 防 万 一 。 

3. 安装 防 病毒 软件 、 防 火 墙 等 防 病毒 工具 ， 准 备 一 套 具 有 查 毒 、 防 毒 、 杀 毒 及 修 
复 系统 的 工具 软件 ， 并 定期 对 软件 进行 升级 、 对 系统 进行 查 毒 

为 了 防止 病毒 的 入 侵 ， 一 定 要 在 计算 机 中 安装 防 病毒 软件 ， 并 选择 公认 质量 最 好 、 升 
级 服务 最 及 时 、 能 够 最 迅速 有 效 地 响应 和 跟踪 新 病毒 的 防 病毒 软件 。 

防 病毒 软件 一 般 都 提供 实时 监控 功能 ， 这 样 无 论 是 在 使 用 外 来 软件 还 是 在 连接 到 网 络 
时 ， 都 可 以 先 对 其 进行 扫描 ， 如 果 有 病毒 ， 防 病毒 软件 会 立即 报警 。 

由 于 病毒 的 层出不穷 及 不 断 更 新 ， 要 有 效 地 扫描 病毒 ， 防 病毒 产品 就 必须 适应 病毒 的 
发 展 ， 及 时 升级 ， 这 样 才能 保证 所 安装 的 防 病毒 软件 中 的 病毒 库 是 最 新 的 ， 也 只 有 这 样 才 
能 识别 和 杀 灭 新 病毒 ， 为 系统 提供 真正 的 安全 环境 。 防 病毒 软件 的 升级 就 是 因为 厂商 增 
加 了 查 杀 若干 新 类 型 病毒 的 功能 ， 及 时 升级 将 使 用 户 的 计算 机 系统 增强 对 这 些 病 毒 的 防御 
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能 力 。 

一 般 来 说 ， 大 的 生产 商 现 在 都 能 每 周 更 新 病毒 库 ， 所 以 在 安装 防 病毒 软件 时 ， 要 选择 
信誉 好 的 大 公司 的 产品 。 

防 病毒 软件 的 升级 可 以 到 防 病毒 厂商 在 当地 的 经 销 商 处 进行 , 也 可 以 自己 通过 Internet 
连接 到 防 病毒 厂商 的 站 点 ， 按 照 提 示 逐 步 完成 升级 工作 。 

4. 对 电子 邮件 提高 警惕 

目前 很 多 具有 巨大 破坏 力 的 病毒 都 是 通过 电子 邮件 进行 传播 的 ， 波 及 范围 广 、 传 播 速 
度 快 ， 造 成 的 危害 也 相当 大 。 

大 家 一 般 都 会 对 陌生 邮件 有 提防 心理 ， 但 我 们 对 熟人 的 邮件 也 不 应 该 掉以轻心 。 有 些 
病毒 会 在 入 侵 到 一 台 计 算 机 后 ， 搜 索 用 户 的 地 址 短 ， 并 以 该 用 户 的 名 义 向 地 址 筹 中 的 每 个 
地 址 发 送 带 毒 邮件 。 所 以 ， 一 定 要 对 电子 邮件 提高 警惕 。 

其 实 ， 邮 件 本 身 是 纯 文 本 文件 ， 它 是 不 会 带 毒 的 ， 邮 件 病 毒 一 般 都 是 附着 于 附件 中 ， 
所 以 一 定 要 小 心 附件 ,不 要 打开 来 历 不 明 的 邮件 附件 。 较 妥当 的 做 法 是 先 将 附件 保存 下 来 ， 
经 杀毒 软件 检查 后 再 打开 。 

5. 经 常 对 系统 中 的 文件 进行 备份 

备份 工作 应 该 定期 或 不 定期 地 进行 ， 确 保 每 一 过 程 和 细节 的 准确 、 可 靠 ， 以 便 在 系统 
骨 浊 时 最 大 限度 地 恢复 系统 ， 减 少 可 能 出 现 的 损失 。 

系统 数据 , 例如 分 区 表 、DOS 引导 扇 区 等 , 需要 用 BOOT_SAFE 等 实用 程序 或 DEBUG 
编程 手段 做 好 备份 ， 作 为 系统 维护 和 修复 时 的 参考 。 

重要 的 用 户 数据 ， 例 如 有 用 的 文档 资料 或 自己 编制 的 程序 文件 等 ， 也 应 当 及 时 备份 。 

备份 时 ， 尽 可 能 地 将 数据 和 系统 程序 分 别 存放 。 可 以 通过 比照 文件 大 小 、 检 查 文件 个 
数 、 核 对 文件 名 来 及 时 发 现 病毒 。 

6. 备 好 启动 盘 ， 并 设置 写 保 护 


在 对 计算 机 系统 进行 检查 、 修 复 和 手工 杀毒 时 ， 通 常 要 使 用 无 毒 的 启动 盘 ， 使 设备 在 
较为 干净 的 环境 下 进行 操作 。 


7. 开机 时 使 用 本 地 硬盘 
尽量 不 用 软盘 、U 盘 、 移 动 硬盘 或 其 他 移动 存储 设备 启动 计算 机 ， 而 用 本 地 硬盘 启动 。 
8. 做 好 系统 配置 


重要 的 系统 文件 和 磁盘 可 以 通过 赋予 只 读 功 能 ， 避 免 病 毒 的 寄生 和 入 侵 。 也 可 以 通过 
转移 文件 位 置 ， 修 改 相应 的 系统 配置 来 保护 重要 的 系统 文件 。 


9. 尽量 做 到 专机 专用 


也 就 是 说 ， 尽 量 不 要 让 别人 使 用 自己 的 计算 机 。 尤 其 是 重要 部 门 的 计算 机 ， 尽 量 专机 
专用 且 与 外 界 隔绝 。 如 果 做 不 到 这 一 点 ， 起 码 也 要 保证 做 到 不 让 别人 在 自己 的 机 器 上 使 用 
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曾经 在 别 的 机 器 上 使 用 过 的 U 盘 等 移动 存储 设备 。 在 万 不 得 已 的 情况 下 , 也 要 先进 行 查 毒 ， 
在 确认 无 病毒 的 情况 下 才 可 以 使 用 。 

同时 ， 应 尽量 避免 在 无 防 病毒 措施 的 机 器 上 使 用 软盘 、U 盘 、 移 动 硬盘 、 可 探 写 光盘 
等 可 移动 的 存储 设备 。 并 且 ， 不 要 随意 借入 和 借 出 这 些 移动 存储 设备 。 在 使 用 借入 或 返还 
的 这 些 设备 时 ， 一 定 要 先 使 用 杀毒 软件 查 毒 ， 避 免 感染 病毒 。 对 返还 的 设备 ， 若 有 干净 备 
份 ， 应 重新 格式 化 后 再 使 用 。 

10. 新 购置 的 计算 机 软件 或 硬件 也 要 先 查 毒 再 使 用 

新 购置 的 计算 机 软件 和 硬件 中 都 可 能 会 携带 病毒 , 因此 都 需要 先进 行 病毒 检测 或 查 杀 ， 
证 实 无 病毒 后 再 使 用 。 

虽然 在 由 著名 厂商 发 售 的 正版 软件 中 也 曾经 发 现 了 病毒 的 存在 ， 但 总 的 来 说 ， 正 版 软 
件 还 是 可 靠 得 多 。 在 1999 年 4 月 26 日 的 CIH 病毒 大 爆发 中 ,盗版 光盘 的 泛滥 对 CIH 病毒 
的 广泛 传播 起 到 了 非常 重要 的 作用 。 

新 购置 的 硬盘 中 也 可 能 会 含有 病毒 。 因 为 对 硬盘 只 做 DOS 的 FORMAT 格式 化 是 不 能 
去 除 主 引导 区 和 分 区 表 扇 区 中 的 病毒 的 ， 因 此 可 能 需要 对 硬盘 进行 低级 格式 化 。 

11. 使 用 复杂 的 密码 

有 许多 网 络 病毒 是 通过 猜测 简单 密码 的 方式 攻击 系统 的 ， 因 此 使 用 复杂 的 密码 可 大 大 
提高 计算 机 的 安全 系数 。 

12. 注意 自己 的 机 器 最 近 有 无 异常 

由 于 在 技术 上 防 杀 病毒 尚 无 法 达到 完美 的 境地 , 难免 有 新 病毒 会 突破 防护 系统 的 保护 ， 
传染 到 计算 机 中 。 因 此 ， 为 能 够 及 时 发 现 异常 情况 ， 不 使 病毒 传染 到 整个 磁盘 ， 传 染 到 相 
邻 的 计算 机 ， 应 对 病毒 发 作 时 的 症状 予以 注意 。 

计算 机 病毒 出 现 什么 样 的 表现 症状 ， 是 由 计算 机 病毒 的 设计 者 决定 的 。 而 计算 机 病毒 
设计 者 的 思想 又 是 不 可 判定 的 ， 所 以 计算 机 病毒 的 具体 表现 形式 也 是 不 可 判定 的 。 然 而 可 
以 肯定 的 是 ， 病 毒 症状 是 在 计算 机 系统 的 资源 上 表现 出 来 的 ， 有 具体 出 现 哪些 异常 现象 和 所 
感染 病毒 的 种 类 直接 相关 。 

计算 机 如 果 感 染 了 病毒 ， 可 能 会 出 现 如 下 一 些 现象 。 

(1) 屏幕 上 出 现 异常 图 形 或 画面 ， 这 些 画 面 可 能 是 一 些 鬼 怪 , 也 可 能 是 一 些 下 落 的 雨 
点 、 字 符 、 树 叶 等 ， 并 且 系 统 很 难 退出 或 恢复 。 

(2) 扬声器 发 出 与 正常 操作 无 关 的 声音 , 例如 演奏 乐曲 或 是 随意 组 合 的 、 杂乱 的 声音 。 

(3) 人 磁盘 可 用 空间 减少 ， 出 现 大 量 坏 艇 ， 且 坏 簇 数 目 不 断 增多 ， 直 到 无 法 继续 工作 。 

(4) 磁盘 读 / 写 文件 明显 变 慢 ,访问 的 时 间 加 长 ， 有 时 出 现 “ 写 保护 错 ” 提 示 。 

(5) 系统 经 常 死机 或 异常 的 重启 现象 增多 。 

(6) 原来 正常 运行 的 程序 突然 不 能 运行 ， 总 是 出 现 出 错 提示 。 

(7) 文件 的 大 小 和 修改 日 期 发 生变 化 。 

(8) 系统 的 运行 速度 变 得 非常 缓慢 。 
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(9) 用 MI 检查 内 存 时 ， 发 现 有 不 应 该 驻 留 的 程序 已 经 驻 留 。 

(10) 键盘 、 打 印 或 显示 有 异常 现象 。 

(11) 有 特殊 文件 自动 生成 ， 或 系统 的 启动 速度 明显 比 平时 变 慢 。 

(12) 莫名 其 妙 地 丢失 文件 。 

(13) 计算 机 存储 系统 的 存储 容量 异常 减少 ， 或 有 不 明 常 驻 程序 。 

(14) 系统 不 能 识别 磁盘 或 是 硬盘 不 能 开机 。 

(15) 整个 目录 变 成 一 堆 乱 码 。 

(16) 硬盘 的 指示 灯 无 缘 无 故地 亮 了 。 

(17) 异常 要 求 用 户 输入 口令 。 

(18) 对 贴 有 写 保护 的 软盘 操作 时 ， 声 音 很 大 。 

以 上 这 些 现象 的 出 现 可 能 是 因为 计算 机 系统 感染 了 病毒 ， 也 可 能 是 系统 中 存在 有 问题 
的 软件 或 出 现 了 硬件 故障 。 这 时 需要 立即 进行 病毒 检测 ， 如 果 发 现 病毒 则 要 清除 ， 降 低 病 
毒 对 系统 的 危害 程度 。 

13. 了 解 一 些 病毒 知识 

多 了 解 一 些 病毒 知识 ， 可 以 及 时 发 现 新 病毒 并 采取 相应 措施 ， 在 关键 时 刻 使 自己 的 计 
算 机 免 受 病毒 的 破坏 。 例 如 定期 检查 注册 表 中 的 下 列 键 值 : HKEY_LOCAL MACHINE' 
software\microsoft\windows\currentversion\run、 HKEY LOCAL MACHINE\software\microsoft\ 
windows\currentversion\runservices。 


一 旦 发 现 病毒 ， 应 迅速 隔离 受 感染 的 计算 机 ， 避 免 病毒 继续 扩散 ， 并 使 用 可 靠 的 查 杀 


告 ， 请 专家 协助 处 理 。 

若 硬 盘 资 料 已 遭 破 坏 ， 应 利用 灾后 重建 的 解毒 程序 和 恢复 工具 加 以 分 析 ， 重 建 受 损 状 
态 ， 而 不 要 急于 格式 化 。 

对 于 计算 机 病毒 的 防治 ， 不 仅 是 一 个 设备 的 维护 问题 ， 而 且 是 一 个 合理 的 管理 问题 ; 
不 仅 要 有 完善 的 规章 制度 ， 而 且 要 有 健全 的 管理 体制 。 所 以 ， 只 有 提高 认识 、 加 强 管理 
做 到 措施 到 位 ， 才 能 防 患 于 未 然 ， 减 少 病毒 入 侵 后 所 造成 的 损失 。 


7.3.4 ”病毒 检测 


病毒 检测 就 是 要 在 特定 的 系统 环境 中 ， 通 过 各 种 检测 手段 来 识别 病毒 ， 并 对 可 疑 的 异 
常情 况 进行 报警 。 病 毒 检 测 主要 是 通过 病毒 扫描 、 系 统 完整 性 检查 、 分 析 法 、 校 验 和 法 和 
行为 封锁 法 等 5 种 手段 进行 。 

1， 病 毒 扫描 


这 是 早期 使 用 得 较 多 的 一 种 病毒 检测 手段 。 
进行 病毒 扫描 时 ， 必 须 用 未 受 病毒 感染 的 DOS 系统 软盘 启动 。 只 有 这 样 ， 才 能 保证 内 
存 中 没有 病毒 。 某 些 计算 机 病毒 在 内 存 中 时 会 欺骗 检测 者 。 例 如 前 面 介 绍 的 “巴基斯坦 大 
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脑 ” 病 毒 在 内 存 中 驻 留 时 ， 检 查 引导 扇 区 时 看 不 到 病毒 程序 而 只 能 看 到 正常 的 引导 扇 区 。 

而 且 ， 启 动 DOS 系统 软盘 时 必须 冷 启 动 ， 而 不 能 通过 按 Ctrl+Alt+Del 键 进行 热 启动 。 
因为 某 些 病毒 可 以 通过 截取 键盘 中 断 ， 而 将 自己 仍旧 驻 留 在 内 存 中 。 

病毒 扫描 一 般 通 过 下 面 两 种 方法 进行 : 

(1) 将 原始 备份 与 检测 的 对 象 进行 比较 

这 种 方法 的 优点 是 使 用 简单 、 方 便 ， 而 且 不 需要 专门 的 查 病毒 软件 ， 直 接 使 用 常规 的 
DOS 软件 和 PC Tools 等 工具 软件 就 可 以 进行 。 使 用 比较 法 ， 还 可 以 发 现 那些 尚 不 能 被 现 有 
检查 病毒 程序 发 现 的 计算 机 病毒 。 

通过 比较 可 以 发 现 异常 情况 ， 例 如 文件 长 度 的 变化 、 程 序 代 码 内 容 的 变化 等 。 但 对 原 
始 备 份 与 检测 对 象 之 间 的 差异 不 能 直接 认定 是 由 病毒 造成 的 ， 尚 需 专业 人 员 使 用 反 汇 编 等 
技术 进行 进一步 分 析 才 能 得 出 结论 。 

(2) 寻找 病毒 特征 

这 种 病毒 扫描 软件 的 开发 者 首先 必须 仔细 分 析 各 种 病毒 程序 ， 从 中 提取 出 足以 代表 各 
种 病毒 特征 的 代码 串 或 特征 字 ， 建 立 起 病毒 特征 库 。 

扫描 程序 利用 该 代码 库 对 检测 对 象 进行 扫描 ， 如 果 在 检测 对 象 内 部 或 内 部 的 某 些 特定 
部 位 发 现 了 某 一 特定 代码 串 或 特征 字 ， 则 认为 发 现 了 该 代码 串 或 特征 字 所 代表 的 病毒 。 

显然 ， 病 毒 特 征 库 中 的 病毒 代码 串 或 特征 字 种 类 越 多 ， 扫 描 程序 能 够 识别 的 病毒 也 
越 多 。 

这 种 方法 在 实际 应 用 中 ， 需 要 不 断 地 将 发 现 的 新 病毒 特征 扩充 到 病毒 特征 库 中 ， 以 反 
映 出 新 病毒 的 产生 或 病毒 的 变异 。 

这 种 方法 可 能 会 产生 “误诊 ”。 如 果 开 发 人 员 选 择 病毒 特征 时 不 够 谨慎 ， 可 能 会 将 其 他 
正常 软件 中 也 有 的 代码 串 或 特征 字 包 含 到 病毒 代码 库 中 。 

这 种 方法 的 优点 是 检测 准确 、 快 速 ， 可 识别 病毒 名 称 和 类 别 ， 误 报警 率 低 ， 容 易 对 病 
毒 进 行 清除 处 理 ， 但 缺点 是 不 能 检测 未 知 病毒 ， 收 集 已 知 病毒 的 特征 代码 的 费用 开销 大 。 

2， 系统 完整 性 检查 


这 种 防 病毒 软件 利用 病毒 行为 对 文件 或 系统 所 产生 的 影响 ， 即 病毒 对 文件 或 系统 做 了 
些 什么 ， 来 发 现 和 确定 病毒 。 

系统 完整 性 检查 程序 首先 生成 未 染 毒 的 “干净 ”文件 和 系统 的 原始 状态 信息 《例如 文 
件 长 度 、 日 期 、 时 间 等 )， 甚 至 一 些 更 复杂 的 信息 《例如 内 容 摘要 等 )， 或 者 在 文件 和 系统 
信息 中 插入 一 些 无 害 的 特殊 标记 代码 ， 然 后 监视 备份 与 原始 对 象 之 间 的 差异 ， 用 以 发 现 病 
毒 感染 的 迹象 。 

这 种 软件 既 可 以 连续 工作 ， 例 如 在 每 次 打开 文件 时 都 进行 检查 ， 也 可 以 按 用 户 预 定 方 
案 在 指定 时 机 工作 。 

这 种 方法 的 主要 缺点 是 : 病毒 必须 已 经 对 文件 或 系统 进行 了 破坏 ， 系 统 完整 性 检查 程 
序 才能 发 现 病毒 。 因 此 ， 如 果 系 统 在 安装 这 种 软件 之 前 已 经 感染 ， 或 者 病毒 仍 处 于 潜伏 期 ， 
则 系统 完整 性 检查 程序 就 无 能 为 力 了 。 

此 外 ， 这 种 方法 也 可 能 会 对 某 些 正 常 操作 产生 较 多 的 “误诊 ”， 例 如 由 软件 升级 或 程序 
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设置 的 改变 而 导致 的 对 象 变化 。 

3 分 析 法 

使 用 分 析 法 的 步骤 如 下 : 

(1) 确认 被 观察 的 磁盘 引导 扇 区 和 程序 中 是 否 含有 计算 机 病毒 。 

(2) 确认 计算 机 病毒 的 类 型 ， 判 断 其 是 否 是 一 种 新 型 的 计算 机 病毒 。 

(3) 弄 清 计算 机 病毒 体 的 大 致 结构 ,提取 用 于 特征 识别 的 字 节 串 或 特征 字 ， 并 将 其 添 
加 到 计算 机 病毒 代码 库 中 ， 供 病毒 扫描 和 识别 程序 使 用 。 

(4) 详细 分 析 计 算 机 病毒 代码 ， 为 相应 的 防 杀 计算 机 病毒 措施 制定 方案 。 

要 使 用 分 析 法 检测 病毒 ， 除了 要 具备 前 面 提 到 的 专业 知识 外 ， 还 需要 有 “DEBUG、 
PROVIEW 等 分 析 工 具 软 件 和 专用 的 试验 计算 机 。 因 为 即使 是 很 熟练 的 防 杀 计算 机 病毒 的 
技术 人 员 使 用 性 能 完善 的 分 析 软件 ， 也 不 能 保证 在 短 时 间 内 将 计算 机 病毒 代码 完全 分 析 清 
楚 ， 而 计算 机 病毒 有 可 能 在 分 析 阶 段 继续 传 染 甚至 发 作 ， 把 软盘 、 硬 盘 中 的 数据 完全 毁坏 
掉 ， 这 就 要 求 分 析 工 作 必须 在 专门 设立 的 试验 计算 机 上 进行 。 在 不 具备 条 件 的 情况 下 ， 不 
要 轻易 开始 分 析 工作 。 很 多 计算 机 病毒 采用 了 自 加 密 、 反 跟踪 等 技术 ， 使 得 分 析 计 算 机 病 
毒 的 工作 变 得 很 困难 和 枯燥 乏味 。 特 别 是 某 些 文件 型 计算 机 病毒 的 代码 长 度 可 达 10KB 以 
上 ， 与 系统 的 层次 相关 ， 使 详细 的 剖析 工作 变 得 十 分 复杂 。 

分 析 病毒 的 过 程 有 静态 分 析 和 动态 分 析 两 类 。 静 态 分 析 是 指 利 用 反 汇 编 工 具 将 计算 机 
病毒 代码 打印 成 反 汇编 指令 程序 清单 后 进行 分 析 ， 以 便 了 解 计算 机 病毒 分 成 哪些 模块 ， 使 
用 了 哪些 系统 调用 ， 采 用 了 哪些 技巧 ， 并 将 计算 机 病毒 感染 文件 的 过 程 转 为 清除 该 计算 机 
病毒 、 修 复 文件 的 过 程 ， 判 断 哪些 代码 可 用 作 特 征 码 以 及 如 何 防御 这 种 计算 机 病毒 。 分 析 
人 员 具 备 的 素质 越 高 ， 分 析 过 程 越 快 、 理 解 越 深 动态 分 析 则 是 指 利用 DEBUG 等 调试 工 
具 在 内 存 带 毒 的 情况 下 ， 对 计算 机 病毒 进行 动态 跟踪 ， 观 察 计算 机 病毒 的 具体 工作 过 程 ， 
以 进一步 在 静态 分 析 的 基础 上 理解 计算 机 病毒 的 工作 原理 。 在 病毒 编码 比较 简单 的 情况 下 ， 
动态 分 析 不 是 必须 的 。 但 当 计 算 机 病毒 采用 了 较 多 的 技术 手段 时 ， 必 须 使 用 静 、 动 态 相 结 
合 的 分 析 方法 完成 整个 分 析 过 程 。 

4， 校 验 和 法 

对 正常 文件 的 内 容 ， 计 算 其 校 验 和 ， 将 该 校 验 和 写 入 此 文件 或 其 他 文件 中 保存 ， 在 文 
件 使 用 过 程 中 或 使 用 之 前 ， 定 期 地 检查 由 现 有 内 容 算出 的 校 验 和 与 原来 保存 的 校 验 和 是 否 
一 致 ， 从 而 发 现 文件 是 否 被 感染 ， 这 种 方法 称 为 校 验 和 法 。 

利用 校 验 和 法 既 能 发 现 已 知 病毒 ， 也 能 发 现 未 知 病毒 ， 但 它 不 能 识别 病毒 类 型 和 指出 
病毒 名 称 。 由 于 病毒 感染 并 非 文 件 内 容 改 变 的 唯一 原因 ， 也 有 可 能 是 正常 程序 引起 的 ， 因 
此 该 方法 经 常会 产生 误 报警 ， 且 会 影响 文件 的 运行 速度 。 

病毒 感染 会 引起 文件 内 容 的 变换 ， 但 校 验 和 法 对 文件 内 容 的 变化 太 敏感 ， 且 又 不 能 区 
分 正常 程序 引起 的 变动 ， 因 而 频繁 报警 。 用 监视 文件 的 校 验 和 来 检测 病毒 不 是 最 好 的 方法 ， 
因为 当 它 过 到 已 有 软件 版 本 更 新 、 密 码 变 更 、 修 改 运 行 参数 时 都 会 误 报警 。 

校 验 和 法 对 隐蔽 型 病毒 无 效 ， 因 为 隐蔽 型 病毒 进入 内 存 后 ， 会 自动 剥 去 染 毒 程序 中 的 
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病毒 代码 ， 使 校 验 和 法 受骗 ， 对 一 个 有 毒 文 件 能 计算 出 正常 的 校 验 和 。 

使 用 校 验 和 法 检测 病毒 ， 通 常 有 如 下 3 种 方式 。 

(1) 在 检测 病毒 工具 中 纳入 校 验 和 法 。 计 算 被 查 文件 的 校 验 和 ， 将 结果 写 入 被 查 文件 
中 或 检测 工具 中 ， 然 后 进行 比较 。 

(2) 在 应 用 程序 中 ， 植 入 校 验 和 法 自我 检查 功能 。 将 文件 正常 状态 的 校 验 和 写 入 文件 
中 ， 每 当 应 用 程序 被 启动 时 ， 比 较 现行 校 验 和 与 原 校 验 和 值 ， 实 现 应 用 程序 的 自 检测 。 

(3) 将 校 验 和 检查 程序 常 驻 内 存 。 每 当 启动 应 用 程序 时 ， 自 动 比较 应 用 程序 内 部 或 其 
他 文件 中 预先 保存 的 校 验 和 。 

使 用 校 验 和 法 的 优点 是 方法 简单 ， 能 发 现 未 知 病毒 ， 也 能 发 现 被 查 文件 的 细微 变化 
缺点 是 有 误 报 警 、 不 能 识别 病毒 类 型 和 名 称 、 不 能 对 付 隐蔽 型 病毒 。 

5.， 行为 封锁 法 

行为 封锁 型 软件 采用 驻 留 内 存 后 台 工作 的 方式 ， 监 视 可 能 因 病 毒 引起 的 异常 行为 。 如 
发 现 异 常 行为 ， 便 及 时 报告 用 户 ， 由 用 户 决 定 其 行为 是 否 继 续 。 此 类 软件 试图 阻止 任何 病 
毒 的 异常 行为 ， 因 此 可 防止 新 型 未 知 病毒 的 传播 和 破坏 。 当 然 ， 有 时 被 认为 的 “可 疑 行为 ” 
是 正常 的 ， 所 以 出 现 误 报 是 难免 的 。 

此 类 技术 的 进一步 发 展 方向 是 成 为 智能 探测 器 。 


7.3.5 病毒 清除 


1. 清除 方法 

预防 和 发 现 病毒 是 非常 重要 的 ， 但 是 一 旦 发 现 文件 或 系统 已 经 感染 了 病毒 ， 显 然 这 时 
要 做 的 第 一 件 事 就 是 进行 杀毒 。 因 为 病毒 也 是 程序 ， 所 以 可 以 使 用 多 种 不 同 的 方法 进行 杀 
毒 处 理 ， 例 如 使 用 DOS 的 DEL 命令 ， 或 者 使 用 一 个 商业 化 的 防 病毒 软件 。 

杀毒 程序 是 防 病毒 软件 的 一 个 重要 组 成 部 分 ， 也 是 目前 可 以 利用 的 主要 杀毒 工具 ， 其 
专业 杀毒 处 理 功 能 建立 在 完全 了 解 某 种 病毒 的 工作 细节 的 基础 上 。 

如 果 系统 感染 的 是 引导 型 病毒 ， 则 可 以 使 用 像 FDISK 和 SIGH 这 样 的 命令 恢复 原来 的 
引导 扇 区 ， 但 是 这 样 做 的 工作 量 非 常 大 。 

对 于 引导 型 病毒 的 删除 ， 关 系 重 大 。 因 为 在 重新 创建 引导 扇 区 和 主 引 导 记 录 (Master 
Boot Record，MBR) 时 出 现 的 任何 错误 ， 不 但 会 导致 磁盘 分 区 信息 丢失 ， 甚 至 可 能 会 丢失 
硬盘 上 的 所 有 文件 ， 导 致 系统 再 也 无 法 被 引导 了 。 

目前 比较 流行 的 方式 是 ， 使 用 可 以 不 断 更 新 病毒 特征 库 的 杀毒 软件 来 清除 网 络 病毒 。 
一 般 来 说 , 网 络 版 杀毒 软件 具有 对 网 络 病 毒 进行 分 析 、 删 除 病毒 程序 并 恢复 原文 件 的 功能 。 

对 付 电 子 邮件 病毒 之 类 的 网 络 病毒 ， 安 装 实时 杀毒 软件 最 为 有 效 。 实 时 杀毒 软件 会 时 
刻 监视 用 户 对 外 的 任何 操作 ， 在 后 台 监 视 操作 系统 的 文件 操作 。 在 用 户 进行 磁盘 访问 、 文 
件 复制 、 文 件 创建 、 文 件 改 名 、 程 序 执行 、 系 统 启动 时 ， 自 动 检测 病毒 。 

现在 ， 许 多 防 病毒 软件 都 采用 了 实时 扫描 技术 。 
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网 络 中 的 病毒 活动 状况 对 于 网 络 管理 员 来 说 是 非常 重要 的 。 通 过 了 解 网 络 中 的 病毒 活 
动情 况 ， 网 络 管理 员 可 以 了 解 哪些 病毒 活动 比较 频繁 、 哪 些 计算 机 或 者 用 户 的 文件 比较 容 
易 感染 病毒 以 及 病毒 的 具体 特征 等 ， 以 便 修改 病毒 防范 策略 以 及 了 解 病毒 的 来 源 情况 ， 方 
便 进行 用 户 、 文 件 资源 的 安全 管理 。 


2. 著名 杀毒 软件 公司 的 站 点 网 址 
表 7-3 给 出 了 一 些 著名 杀毒 软件 公司 的 站 点 网 址 。 
表 7-3 著名 杀毒 软件 公司 的 网 址 


站 点 或 公司 名 称 网 址 
冠 群 金 辰 www.kill.com.cn/ 
瑞星 公司 www.ising.com.cn/ 
北京 江 民 新 技术 公司 wwwjiangmin.com/ 
信 源 公司 WWwW.VIV.com.cn/ 
北京 时 代 先锋 〈 行 天 88) www.sdxf.com/ 
赛 门 铁 克 www.symantec.com/ 
McAfee VirusScan Wwww.mcafee.com/down/downeval.asp/ 
EF-Prot (文件 保护 神 ) www.dataFellows.com/ 
Drsolomo's AntiVirus toolkit (所 罗 门 医生 ) www.drsolomon.com/ 


3. 染 毒 后 的 紧急 处 理 

当 系 统 感 染病 毒 后 ， 可 采取 以 下 措施 进行 紧急 处 理 ， 以 恢复 系统 或 受 损 部 分 。 

(1) 隔离 。 当 某 计算 机 感染 病毒 后 ， 可 将 其 与 其 他 计算 机 进行 隔离 ， 即 避免 相互 复制 
和 通信 。 当 网 络 中 某 节 点 感染 病毒 后 ， 网 络 管理 员 必 须 立 即 切 断 该 节点 与 网 络 的 连接 ， 以 
避免 病毒 扩散 到 整个 网 络 。 

(2) 报警 。 病 毒 感染 点 被 隔离 后 ， 要 立即 向 网 络 系统 安全 管理 人 员 报警 。 

(3) 查 毒 源 。 接 到 报警 后 ， 系 统 安全 管理 人 员 可 使 用 相应 的 防 病毒 系统 鉴别 受 感染 的 
机 器 和 用 户 ， 检 查 那 些 经 常 引起 病毒 感染 的 节点 和 用 户 ， 并 查找 病毒 的 来 源 。 

(4) 采 取 应 对 方法 和 对 策 。 网 络 系 统 安全 管理 人 员 要 对 病毒 的 破坏 程度 进行 分 析 检 查 ， 
根据 需要 采取 有 效 的 病毒 清除 方法 和 对 策 。 如 果 被 感染 的 大 部 分 是 系统 文件 和 应 用 程序 
文件 ， 且 感染 程度 较 深 ， 则 可 采取 重 装 系统 的 方法 来 清除 病毒 ， 如 果 感 染 的 是 关键 数据 文 
件 ， 或 破坏 较 严 重 时 ， 可 请 防 病毒 专家 进行 清除 病毒 和 恢复 数据 的 工作 。 

(5) 修复 前 备份 数据 。 在 对 病毒 进行 清除 前 ， 尽 可 能 将 重要 的 数据 文件 备份 ， 以 防 在 
使 用 防 病毒 软件 或 其 他 清除 工具 查 杀 病毒 时 ， 破 坏 重要 数据 文件 。 

(6) 清除 病毒 。 重 要 数据 备份 后 ， 运 行 查 杀 病毒 软件 ， 并 对 相关 系统 进行 扫描 。 发 现 
有 病毒 ， 立 即 清除 。 如 果 可 执行 文件 中 的 病毒 不 能 清除 ， 应 将 其 删除 ， 然 后 再 安装 相应 的 
程序 。 

(7) 重启 和 恢复 。 病 毒 被 清除 后 ， 重 新 启动 计算 机 ， 再 次 用 防 病毒 软件 检测 系统 中 是 
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否 还 有 病毒 ， 并 将 被 破坏 的 数据 进行 恢复 。 
7.3.6 病毒 防治 软件 介绍 


1. 常用 病毒 防治 软件 简介 

安装 杀毒 软件 、 防 火 墙 等 防 病毒 工具 ， 依 靠 病毒 防治 软件 对 系统 进行 保护 是 防止 病毒 
入 侵 、 降 低 病毒 破坏 造成 的 损失 所 必须 的 ， 是 防治 病毒 的 主要 手段 。 各 种 防 病毒 软件 通常 
具有 如 下 一 些 功能 : 按照 用 户 要 求 对 系统 进行 定期 查 毒 、 杀 毒 ， 对 系统 进行 文件 级 、 邮 件 
级 、 内 存 级 、 网 页 级 的 实时 监控 ;定期 或 智能 化 地 升级 病毒 库 ; 硬盘 数据 的 保护 、 备 份 和 
恢复 ; 注册 表 的 维护 和 修复 ; 多 种 压缩 格式 的 查 毒 、 杀 毒 ， 多 种 安全 策略 的 选择 和 用 户 自 
定义 安全 规则 的 设置 。 有 些 还 提供 了 硬盘 恢复 工具 、 系 统 漏 洞 扫 描 工 具 、 系 统 优化 工具 等 。 

下 面 将 介绍 几 种 较为 流行 的 防 病毒 软件 。 

(1) 国际 品牌 级 

@ 卡巴 斯 基 。 卡 巴 斯 基 (Kaspersky) 杀毒 软件 来 源 于 俄罗斯 ， 是 世界 上 最 优秀 的 网 
络 杀毒 软件 之 一 ， 查 杀 病 毒性 能 较 高 。 该 软件 具有 较 强 的 中 心 管理 和 杀毒 能 力 ， 提 供 了 各 
种 类 型 的 病毒 防护 解决 方案 一 一 抗 病 毒 扫描 仪 、 监 控 器 、 行 为 阻 断 和 完整 性 检验 ， 支 持 几 
乎 所 有 的 操作 系统 、E-mail 通路 和 防火 墙 ， 严 密 控制 所 有 可 能 的 病毒 进入 端口 ， 其 强大 的 
功能 和 局 部 的 灵活 性 以 及 网 络 管理 工具 为 自动 信息 搜索 、 中 央 安 装 和 病毒 防护 控制 提供 了 
便利 。 

@ 诺顿 。Symantec 的 诺顿 品牌 是 个 人 用 户 安全 和 解决 方案 领域 的 全 球 零 售 市 场 的 领 
导 者 。 它 通过 无 颖 集成 的 产品 ,保护 个 人 计算 机 免 受 病毒 爆发 或 恶意 黑客 的 攻击 。 全 球 500 
强 企业 中 的 454 家 和 《财富 》 杂 志 500 强 中 的 489 家 企业 ， 都 在 使 用 Symantec 解决 方案 。 

@@ NOD32。Eset 公司 的 NOD32 是 全 球 较为 流行 的 防 病毒 软件 之 一 ， 深 受用 户 欢迎 。 
NOD32 在 准确 度 及 速度 上 均 打 破 了 多 项 世界 记录 。 它 在 全 球 共 获得 40 多 个 奖项 ,包括 Virus 
Bulletin、 PC Magazine、ICSA 认证 、Checkmark 认证 等 , 并 且 是 全 球 唯一 通过 26 次 VB 100% 
测试 的 防 病毒 软件 。NOD32 提供 多 种 操作 系统 平台 的 产品 ， 包 括 DOS、Windows 9x/Me、 
Windows NT/XP/2000、Novell Netware Server、Linux、BSD 等 。 

(2) 国产 品牌 级 

国产 防 病毒 软件 占有 了 国内 80% 的 市 场 ， 其 中 包括 江 民 KV 系列 、 金 山 毒 霸 、 瑞 星 杀 
毒 软 件 、 能 猫 卫 士 等 一 批 优秀 的 品牌 。 

@ 江 民 KV 系列 。 江 民 科技 致力 于 成 为 国内 最 大 的 信息 安全 技术 开发 商 与 服务 提供 
商 ， 研 发 和 经 营 范围 涉及 单机 、 网 络 防 病毒 软件 ， 单 机 、 网 络 黑客 防火 墙 ， 邮 件 服务 器 防 
病毒 软件 等 一 系列 网 络 安全 产品 。 江 民 KV 系列 产品 在 单机 版 防 杀 毒 市 场 上 占有 一 定 优势 ， 
在 国内 防 杀 毒 业 界 保持 着 一 定 的 领先 地 位 。 江 民 系 列 产品 的 特点 是 : 与 操作 系统 结合 紧 
密 ， 节 约 系统 资源 ， 不 影响 系统 的 稳定 性 和 客户 的 正常 操作 ;其 界面 风格 简洁 ， 可 操作 性 
强 ， 易 于 使 用 ， 在 查 毒 率 方面 、 查 杀 上 压缩 格式 和 加 过 格式 文件 的 支持 方面 ， 江 民 都 表现 得 
很 出 色 。 
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@ 金山 毒霸 。 金山 公司 是 中 国 领先 的 应 用 软件 产品 和 服务 供应 商 ， 其 金山 毒霸 系列 杀 
毒 软件 产品 是 国内 较 有 影响 的 防 杀毒 品牌 之 一 。 金 山 公司 在 积极 推广 金山 毒霸 和 金山 网 镖 
的 同时 ， 还 积极 推动 反 垃圾 邮件 活动 。 金 山 毒霸 的 查 杀毒 速度 快 是 其 产品 的 一 大 特点 ， 在 
精细 查 毒 方式 下 ， 其 查 毒 率 也 较 高 ; 可 以 对 多 种 压缩 格式 进行 病毒 查 杀 ; 在 清除 病毒 方面 ， 
金山 毒霸 也 有 很 好 的 表现 。 

@ 瑞星 杀毒 软件 ,北京 瑞星 计算 机 科技 开发 有 限 责任 公司 是 从 事 计 算 机 病毒 防治 与 研 
究 的 专业 软件 公司 ， 致 力 于 研制 、 生 产 涉及 计算 机 防 病毒 和 信息 安全 相关 的 系列 产品 ， 相 
继 推出 了 基于 多 种 操作 系统 的 瑞星 杀毒 软件 单机 版 、 网 络 版 、 企 业 级 防火 墙 、 入 侵 检 测 、 
漏洞 扫描 等 系列 信息 安全 产品 。 瑞 星 杀 毒 软件 具有 智能 防 病毒 引擎 ， 对 未 知 病毒 、 变 种 病 
毒 、 黑 客 木马 、 恶 意 网 页 程序 、 间 谍 程 序 有 快速 查 杀 的 能 力 ， 并 拥有 及 时 便捷 的 升级 服务 
和 技术 支持 。 

@ 熊猫 卫 士 。 熊猫 卫士 是 Panda 软件 公司 在 中 国 推出 的 防 病毒 产品 , 方正 科技 于 2002 
年 初 正式 入 资 能 猫 中 国 ， 成 为 熊猫 软件 国内 的 主要 股东 ， 并 成 为 一 个 拥有 核心 本 土 技术 的 
国际 化 厂商 。 能 猫 卫 士 可 以 抵御 病毒 、 蠕 虫 和 特洛伊 森马， 防护 新 的 网 络 病毒 的 攻击 ,，( 例 
如 垃圾 邮件 、 间 谍 程 序 、 拨 号 器 、 黑 客 工 具 等 )。 

.杀毒 软件 实例 简介 

(1) 瑞星 杀毒 软件 的 安装 

安装 瑞星 杀毒 软件 的 具体 步骤 如 下 : 

@ 下 载 瑞星 杀毒 软件 的 安装 程序 后 , 直接 执行 安装 程序 , 在 打开 的 欢迎 界面 中 单 击 “ 下 
一 步 ” 按 钮 ， 如 图 7-4 所 示 。 

@ 进入 “最 终 用 户 许可 协议 ”界面 ， 阅 读 协 议 后 必须 同意 此 条 款 ， 即 选中 “我 接受 ” 
单 选 按钮 ， 才 可 以 根据 安装 向 导 继续 进行 软件 的 安装 ， 如 图 7-5 所 示 。 


> ol 
瑞星 欢迎 您 最 终 用 户 许可 协议 
但 在 继续 安装 之 前 ， 请 阅读 下 面 的 重要 信息 。 但 


请 仔细 癌 读 下 面 的 最 终 用 户 许可 协议 ， 悠 必须 在 继续 安装 之 前 接受 本 协议 。 按 
欢迎 使 用 瑞星 杀毒 软件 安装 向 导 ,本 向 导 格 正确 引导 您 安装 瑞星 杀毒 软件 。 "PageDown 键 阅读 协议 的 其 它 部 分 。 


最 终 用 户 许可 协议 py 


烈 建议 它 所 : E 行 1 sy 中 
和 le me 到 人 电信 但 


警 省 : 本 程序 受到 版 权 法 及 国际 条 约 的 保护 。 称 -本 软件 或 软件 产品 ") 版 权 所 有 人 北京 瑞星 科技 股份 有 限 公司 C Tf 秆 销 


| 
二 经 授权 复制 了 和 发 各 应， 于 其中 的 任 册 部 分 ， 才 可 内 人 到 民法 与 和 法 的 天 四 生地、 六 同和 轨 区 作 用 生 隐 全 中 居 癌 下 从 同 攻 
惩 ， 并 格 受到 法 律 区 许 的 最 大 处 罚 。 和 受 相 协议 各 项 条 款 的 的 率 。 本 协议 与 由 您 签署 的 通过 恋 关 林立 的 任何 书面 协议 
一 拜 有 效 。 加 不 同意 ， 请 不 要 使 用 本 软件 并 确保 产品 及 大 组 件 的 充 好 性 。 
单 击 "下 一 步 "继续 安装 ， 单 击 "取消 "退出 安装 程序 - 1 .定义 十 
6 要] 个 我 不 接受 (0) 


+ | 下 a | BO | 上 一 步 p) | F-—Sw | a | _ misc | 


图 7-4 欢迎 界面 图 7-5 “最 终 用 户 许可 协议 ”界面 


图 进入 “验证 产品 序列 号 和 用 户 ID” 界 面 ， 在 “产品 序列 号 ” 框 中 输入 瑞星 的 产品 
序列 号 ， 同 时 在 “用 户 DD” 框 中 输入 12 位 用 户 DDD， 如 图 7-6 所 示 。 
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@ 单 击 “ 下 一 步 ”按钮 ， 在 出 现 的 界面 中 选择 安装 方式 。 瑞 星 杀毒 软件 提供 了 “全 部 
安装 ”和 “最 小 安装 ”两 种 安装 方式 。 

若 选择 了 “全 部 安装 ”方式 ， 则 可 以 根据 需要 选择 要 安装 的 其 他 组 件 ， 例 如 瑞星 工具 、 
瑞星 皮肤 资源 等 ， 如 图 7-7 所 示 。 


SETESETH ol all 
验证 产品 序列 号 和 用 户 ID : 定制 安装 
请 输入 悠 的 产品 序列 号 和 用 户 ID。 但 请 选择 需要 安装 的 组 件 但 


全 部 安装 
全 部 安装 方式 ， 需 要 至 少 
123 M 穗 盘 空 间 


您 的 产品 序列 叶 为 : TiBULQ-70AWDE-9P905F-7TD200 
点 击 " 下 一 步 "继续 安装 瑞星 杀毒 软件 


ts® | FT-sw] ame | mao | 上 -Oo | Fe | _ mhO 
图 7-6 “验证 产品 序列 号 和 用 户 ID” 界 面 图 7-7 “定制 安装 ”界面 
@ 单 击 “ 下 一 步 ”按钮 ， 选 择 将 该 软件 安装 到 合适 的 位 置 。 该 软件 的 默认 安装 路 径 是 


C:\Program Files\Rising\Rav 文件 夹 。 也 可 单 击 “浏览 ”按钮 ， 在 打开 的 对 话 框 中 自行 设 定 
安装 的 路 径 ， 如 图 7-8 所 示 。 

@ 单 击 “ 下 一 步 ” 按 钮 ， 选 择 瑞星 防火 墙 在 系统 “开始 ”菜单 中 的 文件 夹 ， 以 便 用 户 
可 方便 地 通过 “开始 ”菜单 启动 防火 墙 ， 并 确定 是 否 放 置 瑞星 图 标 到 桌面 和 是 否 放置 瑞星 
图 标 到 快速 启动 工具 条 ， 如 图 7-9 所 示 。 
La a 


选择 目标 文件 夹 园 择 开始 菜单 文件 夹 
您 叭 备 撞 本 软件 安装 到 哪里 ? 但 但 
a 选 拓 你 需要 在 开始 菜单 文件 天 中 他 梁 的 程序 亿 折 方 式 ， 然 后 单 击 "下 一 步 "… 
[c:\Program Files\Rising\Rav 浏览 (8) 
ey 开始 荣 单 文件 来: 
或 过 择 其 它 分 区 [ET 
- 现 有 的 开始 玉音 文件 二): 
|Adobe 


图 7-8 “选择 目标 文件 夹 ” 界面 图 7-9 “选择 开始 菜单 文件 夹 ”界面 
@ 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “安装 过 程 中 ”界面 ， 此 时 将 进行 文件 的 复制 和 安装 ， 
如 图 7-10 所 示 。 
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也 玉 星 个 人 防火 培 下 载 版 =jD|>| 
安装 过 程 中 
当前 版 本 :19.06.10 更 新 日 期 :2007-01-16 10:31 但 


文件 复制 中 … 
瑞星 通用 库 (OVERRFW) 


图 7-10 “安装 过 程 中 ”界面 


@ 完成 瑞星 杀毒 软件 安装 后 ， 进 入 “结束 ”界面 ， 如 图 7-11 所 示 。 单 击 “ 完 成 ” 按 
钮 ， 瑞 星 杀毒 软件 就 安装 到 计算 机 上 了 。 在 任务 栏 的 右 侧 ， 将 会 出 现 瑞星 杀毒 软件 的 图 标 。 

(2) 瑞星 杀毒 软件 的 卸载 

瑞星 杀毒 软件 提供 了 自动 卸载 程序 ， 务 载 方法 如 下 : 

@ 在 弹出 的 菜单 中 选择 “程序 ”命令 ， 找 到 瑞星 杀毒 软件 的 安装 目录 ， 选 择 “ 添 加 删 
除 组件 ” 命 令 ， 如 图 7-12 所 示 。 


意 瑞 星 杀毒 软件 


同 开 有 I 上 ， 
回 瑞星 网站 ， 
各 病毒 隔离 系统 
个 瑞星 监控 中 心 
图 瑞星 杀毒 软件 


”升级 程序 
候 添加 遇 除 组 件 


L$(p) | TF-—#() 取消 (O 


图 7-11 “结束 ”界面 图 7-12 ”选择 “添加 删除 组 件 ” 命 令 

@ 打开 “瑞星 软件 维护 模式 ”界面 ， 选 中 “外 载 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 ， 
即 可 完成 瑞星 杀毒 软件 的 卸载 ， 如 图 7-13 所 示 。 

当然 ， 也 可 以 通过 控制 面板 中 的 “添加 或 删除 程序 ”功能 进行 卸载 。 

(3) 瑞星 杀毒 软件 的 使 用 

下 面 介绍 使 用 瑞星 杀毒 软件 进行 杀毒 的 方法 。 

G@ 打开 瑞星 杀毒 软件 ， 将 出 现 如 图 7-14 所 示 的 用 户 界 面 。 在 “信息 中 心 ” 选 项 卡 下 ， 
选择 要 进行 查 杀 毒 的 对 象 ， 如 驱动 器 、 内 存 等 ， 例 如 要 对 卫 盘 进 行 杀 毒 ， 则 选中 卫 盘 前 的 
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复 选 框 ， 如 图 7-15 所 示 。 
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图 7-15 瑞星 杀毒 软件 查 杀毒 对 象 选 择 界面 


@ 单 击 屏幕 下 方 的 “杀毒 ”按钮 ， 将 出 现 如 图 7-16 所 示 的 杀毒 界面 。 

@ 在 杀毒 过 程 中 , 单 击 “ 暂 停 ”按钮 可 暂停 杀毒 , 单 击 “ 停 止 ” 按钮 可 以 结束 查 杀毒 。 

在 这 些 按钮 的 上 方 有 一 个 状态 显示 条 ， 显 示 了 查 杀 毒 的 进度 。 

在 最 下 方 的 状态 栏 上 ， 将 显示 当前 已 经 查 杀毒 的 文件 数目 以 及 发 现 的 病毒 数目 ， 并 显 
示 当 前 正在 查 杀毒 的 具体 文件 路 径 。 

@ 杀毒 完成 后 ， 出 现 如 图 7-17 所 示 的 “杀毒 结束 ”对 话 框 ， 其 中 详细 列 出 了 查 杀 毒 
的 统计 情况 。 例 如 ， 查 杀毒 的 文件 数目 、 用 时 ; 如 果 发 现 了 病毒 ， 则 将 发 现 的 病毒 以 及 清 
除 情况 都 反映 出 来 。 

男 外 ， 也 可 以 在 “我 的 电脑 ”窗口 或 资源 管理 器 中 选中 要 进行 查 杀毒 的 对 象 ， 如 EE 盘 ; 
然后 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “瑞星 杀毒 ”命令 ， 如 图 7-18 所 示 ， 即 可 进入 到 如 
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图 7-16 所 示 的 杀毒 工作 状态 中 。 
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图 7-16 瑞星 杀毒 软件 的 杀毒 工作 界面 
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图 7-18 在 “我 的 电脑 ”中 直接 查 杀 病毒 
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(4) 瑞星 杀毒 软件 的 升级 


在 主 界面 中 单 击 “ 升 级 ”按钮 ， 并 保证 计算 机 与 Intemet 互联 ， 就 可 以 对 瑞星 杀毒 软件 
进行 在 线 升级 ， 将 出 现 如 图 7-19 所 示 的 升级 界面 ， 直 至 完成 。 
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图 7-19 瑞星 杀毒 软件 在 线 升级 界面 


7.4 典型 计算 机 病毒 的 检测 与 清除 


7.4.1 网 络 病毒 的 检测 与 清除 方法 


计算 机 网 络 病毒 实际 上 是 一 个 笼统 的 概念 。 一 种 情况 是 ， 计 算 机 网 络 病毒 专 指 在 网 络 
上 传播 并 对 网 络 进行 破坏 的 病毒 ， 另 一 种 情况 是 ， 计 算 机 网 络 病毒 指 的 是 HTML 病毒 、 
E-mail 病毒 、Java 病毒 等 与 Intemet 有 关 的 病毒 。 

1， 网络 病毒 的 传播 方式 

事实 上 ， 并 不 是 所 有 的 病毒 都 能 够 通过 计算 机 网 络 进行 传播 。 例 如 ， 单 纯 的 引导 型 病 
毒 就 很 少 能 在 互联 网 上 传播 。 计 算 机 网 络 上 的 病毒 几乎 都 是 常规 单机 病毒 ， 真 正 能 够 称 得 
上 网 络 型 的 病毒 很 少 。 也 就 是 说 ， 计 算 机 网 络 上 的 病毒 机 制 不 过 就 是 单机 型 的 ， 只 不 过 是 
通过 网 络 进行 传播 办 了 。 这 也 说 明 ， 病 毒 的 传播 和 感染 也 由 以 软盘 、 软 件 为 媒介 发 展 到 互 
联网 时 代 的 以 网 络 (电子 邮件 等 ) 为 媒介 。 
网 络 病毒 的 出 现 和 传播 成 为 当前 影响 Intemet 正常 运转 的 主要 障碍 。 网 络 病毒 首先 来 自 
于 文件 下 载 。 被 浏览 的 文件 和 通过 FTP 下 载 的 文件 中 可 能 存在 病毒 ， 而 共享 软件 和 免费 的 
资料 已 经 成 为 病毒 传播 的 重要 途径 。 
网 络 病毒 的 另 一 种 重要 来 源 是 电子 邮件 .大 多 数 的 ntemet 邮件 系统 提供 了 在 网 络 间 传 
送 附件 的 功能 ， 而 病毒 恰好 抓 住 了 这 一 点 ， 利 用 邮件 系统 的 漏洞 自动 地 向 邮箱 服务 器 地 址 
列表 中 的 地 址 发 送 带 病毒 的 邮件 ， 使 病毒 得 到 迅速 传播 。 

随 着 即时 聊天 工具 的 流行 ， 通 过 聊天 工具 进行 病毒 传播 成 为 网 络 病毒 传播 的 第 三 大 
途径 。 

蠕虫 病毒 则 是 利用 系统 漏洞 进行 传播 的 一 种 网 络 病毒 。 
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2. 网 络 病毒 的 特点 


计算 机 网 络 的 主要 特点 是 资源 共享 ， 一 旦 共享 资源 感染 上 病毒 ， 网 络 各 节点 间 信 息 的 
频繁 传输 将 把 病毒 传染 到 共享 的 所 有 机 器 上 ， 从 而 形成 多 种 共享 资源 的 交叉 感染 。 病 毒 的 
迅速 传播 、 再 生 、 发 作 将 造成 比 单机 病毒 更 大 的 危害 。 

在 网 络 环境 中 ， 网 络 病毒 除了 具有 可 传播 性 、 可 执行 性 、 破 坏 性 、 可 触发 性 等 计算 机 
病毒 的 共性 外 ， 还 具有 如 下 一 些 新 特点 。 

(1) 感染 速度 快 。 在 单机 环境 下 ， 病 毒 只 能 通过 软盘 从 一 台 计算 机 带 到 另 一 台 ， 而 在 
网 络 中 则 可 以 通过 网 络 通信 机 制 迅速 扩散 。 根 据 测定 ， 一 个 典型 的 局 域 网 在 正常 使 用 的 情 
况 下 ， 只 要 有 一 台 工 作 站 有 病毒 ， 短 短 几 十 分 钟 即 可 使 网 上 的 数 百 台 计 算 机 全 部 感染 。 

(2) 扩散 面 广 。 由 于 病毒 在 网 络 中 的 扩散 非常 快 ， 扩散 范围 很 大 ， 不 但 能 迅速 传染 局 
域 网 络 内 所 有 计算 机 ， 还 能 通过 远程 工作 站 在 一 瞬间 将 病毒 传播 到 千里 之 外 。 

(3) 传播 的 形式 复杂 多 样 。 病 毒 在 计算 机 网 络 上 通过 共享 文件 、 电 子 邮 件 、 文 件 传送 
等 途径 进行 传播 ， 其 传播 的 形式 可 以 多 种 多 样 。 

(4) 难以 彻底 清除 。 单 机 上 的 计算 机 病毒 有 时 可 通过 删除 带 毒 文件 、 低 级 格式 化 硬盘 
等 措施 将 病毒 彻底 清除 ， 而 网 络 中 只 要 有 一 台 工 作 站 未 能 干净 地 杀毒 就 可 使 整个 网 络 重 新 
被 病毒 感染 , 甚至 刚刚 完成 杀毒 工作 的 一 台 工 作 站 很 可 能 被 网 上 另 一 台 带 毒 工作 站 所 感染 。 
因此 ， 仅 对 工作 站 进行 病毒 查 杀 ， 并 不 能 解决 病毒 对 网 络 的 危害 。 

(5) 破坏 性 大 。 网 络 病毒 破坏 力 更 强 ， 轻 则 降低 速度 ， 影 响 工 作 效 率 ， 重 则 使 网 络 崩 
溃 ， 破 坏 服务 器 信息 ， 使 多 年 工作 毁 于 一 旦 。 

3. 网 络 防 病毒 技术 

目前 成 熟 的 防 病毒 软件 已 经 可 以 做 到 对 所 有 的 已 知 病毒 进行 预防 和 清除 ， 例 如 瑞星 、 
KV、KILL、 诺 顿 、 金 山 毒 霸 等 。 

下 面 介绍 两 种 网 络 防 病毒 技术 。 

(1) 实时 监视 技术 

实时 监视 技术 为 计算 机 构筑 起 一 道 动 态 、 实 时 的 防 病毒 防线 ， 它 通过 修改 操作 系统 ， 
使 操作 系统 本 身 具备 防 病毒 功能 ， 拒 病毒 于 计算 机 系统 之 外 。 该 技术 可 时 刻 监 视 系统 中 的 
病毒 活动 、 系 统 状况 以 及 软盘 、 光 盘 、 互 联网 、 电 子 邮件 上 的 病毒 传染 ， 将 病毒 阻止 在 操 
作 系 统 外 部 。 

采用 实时 监视 技术 的 防 病毒 软件 由 于 使 用 了 与 操作 系统 底层 的 无 颖 连接 技术 ， 实 时 监 
视 器 占用 的 系统 资源 极 小 ， 用 户 完 全 感觉 不 到 对 机 器 性 能 的 影响 。 

只 要 实时 防 病毒 软件 实时 地 在 系统 中 工作 ， 病 毒 就 无 法 侵入 计算 机 网 络 系统 。 防 病毒 
软件 只 需 一 次 安装 ， 就 可 保证 此 后 计算 机 运行 的 每 一 秒 钟 都 会 执行 严格 的 防 病毒 检查 ， 保 
证 从 Intemet`、 光 盘 、 软 盘 等 途径 进入 网 络 的 每 一 个 文件 都 安全 无 毒 , 如 有 病毒 则 自动 清除 。 

(2) 全 平台 防 病毒 技术 

目前 病毒 活跃 的 平台 有 DOS、Windows、Windows NT、NetWare、Exchange 等 。 为 了 


第 7 章 计算 机 病毒 防治 过 


使 防 病毒 软件 做 到 与 系统 的 底层 无 颖 连接 ， 实 时 地 检查 和 清除 病毒 ， 必 须 在 不 同 的 平台 上 
使 用 相应 平台 的 防 病毒 软件 。 假 如 使 用 Windows 平台 ， 则 必须 用 Windows 版 本 的 防 病毒 
软件 。 如 果 是 企业 网 络 ， 各 种 版 本 的 平台 都 有 ， 那 么 就 要 在 网 络 上 的 每 一 个 服务 器 、 客 户 
端 上 安装 DOS、Windows XP/NT 等 平台 的 防 病毒 软件 ,做 到 每 一 个 点 上 都 安装 相应 的 防 病 
毒 模块 ， 每 一 个 点 上 都 能 实时 地 抵御 病毒 的 攻击 。 只 有 这 样 ， 才 能 做 到 网 络 的 真正 安全 和 
可 靠 。 

4. 网 络 病毒 的 防治 

网 络 病毒 的 防治 工作 具有 如 下 特点 。 

(1) 网 络 防 病毒 技术 的 安全 度 是 基于 “ 木 桶 理论 ”的 。 被 计算 机 安全 界 广泛 采用 的 车 
名 的 “ 木 桶 理论 ”认为 ， 整 个 系统 的 安全 防护 能 力 取决 于 系统 中 安全 防护 能 力 最 薄弱 的 环 
节 。 计 算 机 网 络 病毒 防治 是 计算 机 安全 极为 重要 的 一 个 方面 ， 它 同样 也 适用 于 这 一 理论 ， 
即 一 个 计算 机 网 络 对 病毒 的 防御 能 力 取决 于 网 络 中 病毒 防护 能 力 最 薄弱 的 一 个 节点 。 

(2) 网 络 防 病毒 技术 尤其 是 网 络 病毒 实时 监测 技术 应 符合 “最 小 占用 ”原则 。 网 络 防 
病毒 技术 的 应 用 必然 会 占用 网 络 系统 资源 (增加 网 络 负荷 、 额 外 占用 CPU、 占 用 服务 器 内 
存 等 )。 网 络 防 病 毒 产品 是 网 络 应 用 的 辅助 产品 ， 因 此 网 络 防 病毒 技术 ,尤其 是 网 络 病毒 实 
时 监测 技术 , 在 自身 的 运行 中 不 应 影响 网 络 的 正常 运行 。 因此 , 网 络 防 病 毒 技术 应 符合 “ 
小 占用 ”原则 ， 以 保证 网 络 防 病 毒 组 件 和 网 络 本 身 都 能 发 挥 出 应 有 的 正常 功效 。 

(3) 网 络 防 病毒 技术 的 兼容 性 是 网 络 防 病毒 的 重点 与 难点 。 网 络 上 集成 了 那么 多 的 硬 
件 和 软件 ， 流 行 的 网 络 操作 系统 也 有 好 几 种 。 按 照 一 定 网 络 防 病毒 技术 开发 出 来 的 网 络 防 
病毒 产品 ， 要 运行 于 这 么 多 的 软 、 硬 件 之 上 ， 与 它们 和 平 共 处 ， 实 在 是 非常 之 难 ， 远 比 单 
机 防 病毒 产品 复杂 。 这 既是 网 络 防 病毒 技术 必须 面 对 的 难点 ， 又 是 其 必须 解决 的 重点 。 

5， 网 络 病毒 检测 与 清除 的 方法 举例 

网 络 病毒 的 检测 与 清除 ， 主 要 依赖 于 防 病毒 软件 和 防火 墙 的 安装 。 也 可 以 通过 如 下 一 
些 方法 ， 检 查 系 统 是 否 感 当 了 网 络 病毒 。 

(1) 检查 注册 表 。 大 多 数 病毒 都 会 修改 注册 表 ， 使 得 每 一 次 机 器 启动 时 都 能 够 得 到 自 
动 执 行 。 常 见 的 被 修改 的 注册 表 键 值 存放 在 : 

© HKEY CURRENT USERS\softwaremicrosoft\windows\currentversion 下 的 run 或 
runonce 项 下 。 
@ HKEY LOCAL MACHINE\software\microsoft\Wwindows\currentversion 下 的 run、 
runonceex、runservices 项 下 。 
@ HKEY USERS.DEFAULT\software\microsoft\windows\currentversion 下 的 rn 或 
runonce 项 下 。 
有 些 病毒 为 了 隐蔽 自己 , 通过 修改 注册 表 将 自己 伪装 成 系统 文件 。 例 如 , 木马 病毒 Acid 
Battery V1.0 将 注册 表 HKEY LOCALMACHINE\software\microsoft\windows\currentversion\ 
run 项 下 的 Explorer 键 值 改 为 Explorer=“C:\WWINDOWS\ EXPIORER.EXE”， 病 毒 程序 与 真 
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正 的 Explorer 之 间 只 有 “i” 与 “1” 的 差别 。 

(2) 检查 磁盘 文件 。 有 些 网 络 病毒 会 在 磁盘 上 留 下 自己 的 文件 , 例如 木马 病毒 Netbus; 
有 些 修改 或 覆盖 原 有 系统 的 文件 ， 例 如 外 壳 型 病毒 ， 有些 则 以 系统 文件 的 命名 方式 来 命名 
自己 ， 以 迷惑 用 户 。 

(3) 检查 共享 文件 夹 。 为 实现 远程 访问 的 目的 , 病毒 通常 将 服务 程序 放 在 共享 目录 中 。 

(4) 检查 进程 。 网 络 病毒 在 发 作 时 会 占用 系统 资源 ， 自 动产 生 正常 系统 运行 时 没有 的 
进程 ， 甚 至 关闭 一 些 正常 系统 运行 的 进程 。 

(5) 检查 端口 。 网 络 病毒 要 与 外 界 进 行 联系 或 传播 病毒 ， 必 然 要 开启 通信 端口 ， 自 动 
发 送 垃圾 信息 ， 感 染 其 他 系统 或 接受 远程 控制 ， 窃 取 系 统 资 料 。 

(6) 其 他 异常 症状 。 例 如 ， 系 统 性 能 下 降 、 浏 览 器 被 修改 、 出 现 乱码 、 无 法 正常 使 用 
邮件 系统 等 。 

不 同 网 络 病毒 的 清除 方法 各 不 相同 ， 但 大 多 要 涉及 到 注册 表 的 修改 、 系 统 程序 的 恢复 
和 病毒 服务 程序 的 删除 。 

6. 网 络 病毒 实例 一 一 电子 邮件 病毒 

“电子 邮件 病毒 ”其 实 和 普通 的 计算 机 病毒 一 样 ， 只 不 过 由 于 它们 的 传播 途径 主要 是 
通过 电子 邮件 ， 所 以 才 被 称 为 “电子 邮件 病毒 ”。 现 今 电 子 邮 件 已 被 广泛 使 用 ，E-mail 也 成 
为 病毒 传播 的 主要 途径 之 一 。 由 于 可 同时 向 一 群 用 户 或 整个 计算 机 系统 发 送 电子 邮件 ， 一 
旦 一 个 信息 点 被 感染 ， 整 个 系统 在 短 时 间 内 都 可 能 被 感染 。 

(1) 电子 邮件 病毒 的 特点 

G@ 邮件 格式 不 统一 ， 杀 毒 困难 。 不 同 的 邮件 系统 使 用 不 同 的 格式 存储 文件 和 文档 ， 传 
统 的 杀毒 软件 对 侦 测 此 类 格式 的 文件 无 能 为 力 。 另 外 ， 普 通用 户 并 不 能 访问 邮件 数据 库 ， 
因为 它们 往往 在 远程 服务 器 上 。 

@ 传播 速度 快 ， 传 播 范围 广 ， 破 坏 力 大 。 绝 大 多 数 通 过 E-mail 传播 的 病毒 都 有 自我 
复制 的 能 力 ， 而 这 正 是 电子 邮件 病毒 的 危险 之 处 。 电 子 邮 件 病毒 能 够 主动 选择 用 户 邮 箱 地 
址 短 中 的 地 址 发 送 邮件 或 在 用 户 发 送 邮件 时 ， 将 被 病毒 感染 的 文件 附 到 邮件 上 一 起 发 送 。 
这 种 成 指数 增长 的 传播 速度 可 以 使 病毒 在 很 短 的 时 间 内 遍布 整个 Intemet。2000 年 5 月 4 
日 ,“ 爱 虫 ”病毒 爆发 的 第 一 天 便 有 6 万 台 以 上 的 机 器 被 感染 , 在 短 短 不 到 一 个 月 的 时 间 内 
就 造成 了 超过 67 亿美 元 的 损失 。 当 电子 邮件 病毒 发 作 时 ， 往 往 会 造成 整个 网 络 的 瘫痪 ， 而 
网 络 瘫痪 造成 的 损失 往往 是 难以 估计 的 。 

(2) 电子 邮件 病毒 的 防范 措施 

电子 邮件 病毒 一 般 是 通过 在 邮件 中 “附件 ”夹带 的 方法 进行 扩散 ， 无 论 是 文件 型 病毒 
或 是 引导 型 病毒 ， 无 论 是 “ 爱 虫 ”还 是 “美丽 莎 "，” 如 果 用 户 没有 运行 或 打开 附件 ， 病 毒 是 
不 会 被 激活 的 (Bubbleboy 除外 ); 只 有 运行 了 该 附件 中 的 病毒 程序 ， 才 能 使 计算 机 染 毒 。 

对 于 E-mail 用 户 而 言 ， 杀 毒 不 如 防毒 。 知 道 了 这 一 点 ， 对 电子 邮件 病毒 就 可 以 从 下 面 
儿 个 方面 采取 相应 的 防范 措施 了 。 
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Q@ 不 要 轻易 打开 陌生 人 来 信 中 的 附件 文件 ， 尤 其 对 于 一 些 “.exe” 之 类 的 可 执行 程序 
文件 ， 更 要 慎之 又 慎 ! 

@ 对 于 比较 熟悉 、 了 解 的 朋友 寄 来 的 信件 ， 如 果 其 信 中 夹带 了 程序 附件 ,但 是 他 却 没 
有 在 信 中 提 及 或 是 说 明 ， 也 不 要 轻易 运行 。 因 为 有 些 病毒 是 偷偷 地 附着 上 去 的 ， 也 许 发 送 
电子 邮件 的 计算 机 已 经 染 毒 ， 可 朋友 自己 却 不 知道 。 例 如 ，Happy 99 就 是 这 样 的 病毒 ， 它 
会 自我 复制 ， 跟 着 发 送 的 邮件 走 。 

@ 给 别人 发 送 程序 文件 甚至 包括 电子 贺卡 时 , 一 定 要 先 在 自己 的 计算 机 中 试 试 , 确认 
没有 问题 后 青 发 ， 以 免 好 心 办 了 坏事 。 男 外 ,切忌 盲 目 转 发 。 有 的 用 户 当 收 到 某 些 自 认为 
有 趣 的 邮件 时 ， 还 来 不 及 细 看 就 打开 通讯 簿 给 自己 的 每 一 位 朋友 都 转发 一 份 ， 这 极 有 可 能 
使 用 户 无 意 中 成 了 病毒 传播 者 。 

@ 不 断 完善 “网 关 ” 软 件 及 病毒 防火 墙 软件 ， 加 强 对 整个 网 络 入 口 点 的 防范 。 

@ 使 用 优秀 的 防 病毒 软件 对 电子 邮件 进行 专门 的 保护 。 选 用 的 防 病毒 软件 首先 必须 有 
能 力 发 现 并 杀 灭 任何 类 型 的 病毒 ,无 论 这 些 病毒 是 隐藏 在 邮件 文本 内 ,还 是 躲 在 附件 或 OLE 
文档 内 。 当 然 ， 有 能 力 扫描 压缩 文件 也 是 必须 的 。 其 次 ， 该 防 病毒 软件 还 必须 在 收 到 邮件 
的 同时 对 该 邮件 进行 病毒 扫描 ， 并 在 每 次 打开 、 保 存 和 发 送 后 再 次 进行 扫描 。 

使 用 防 病毒 软件 同时 保护 客户 机 和 服务 器 。 一 方面 , 只 有 客户 机 的 防 病毒 软件 才能 
访问 个 人 目录 ， 并 且 防 止 病毒 从 外 部 入 侵 ; 另 一 方面 ， 只 有 服务 器 的 防 病毒 软件 才能 进行 
全 局 监测 和 查 杀 病毒 。 这 是 防止 病毒 在 整个 系统 中 扩散 的 唯一 途径 ， 也 是 阻止 病毒 入 侵 没 
有 本 地 保护 但 连接 到 邮件 系统 的 计算 机 的 唯一 方法 。 

@ 使 用 特定 的 SMTP 杀毒 软件 。 SMTP 杀毒 软件 具有 独特 的 功能 ， 它 能 在 那些 从 互联 
网 上 下 载 的 受 染 邮件 到 达 本 地 邮件 服务 器 之 前 拦截 它们 ， 从 而 保持 本 地 网 络 的 无 毒 状态 。 


7.4.2 宏 病 毒 的 检测 与 清除 方法 


宏 是 软件 设计 者 为 了 在 使 用 软件 工作 时 ， 避 免 一 再 重复 相同 的 动作 而 设计 出 来 的 一 种 
工具 。 在 Word 中 ， 宏 是 一 系列 组 合 在 一 起 的 Word 命令 和 指令 ， 它 们 形成 了 一 个 命令 ， 可 
实现 任务 执行 的 自动 化 ， 代 替 人 工 进行 一 系列 费时 而 单调 的 重复 性 Word 操作 ， 自 动 完成 
所 需 任 务 。 宏 病毒 是 利用 软件 所 支持 的 宏 命 令 编写 而 成 的 具有 复制 、 传 染 能 力 的 宏 。 

1. 宏 病 毒 的 检测 


由 于 安 病 毒 在 运行 时 离 不 开 运行 它 的 软件 平台 Word、PowerPoint 等 Office 软件 ， 所 以 
通过 操作 系统 和 Office 软件 平台 的 异常 现象 ， 就 能 准确 地 反映 出 宏 病毒 的 存在 。 
(1) 检查 通用 模板 中 出 现 的 宏 。 大 多 数 宏 病毒 是 通过 感染 通用 模板 Normal.dot 进行 传 
播 的 , 而 通常 通用 模板 中 是 没有 宏 的 , 因此 选择 “工具 ”|“ 宏 ”命令 , 如 果 发 现 有 Auto Open 
等 自动 宏 、File Save 等 标准 宏 或 一 些 怪 名 字 的 宏 ， 而 用 户 又 没有 使 用 特殊 宏 的 时 候 ， 用 户 
文档 便 很 有 可 能 感染 上 了 宏 病 毒 。 
(2) 无 故 出 现存 盘 操 作 。 当 打开 一 个 Word 文档 时 ， 并 且 文 档 没有 经 过 任何 改动 ， 立 
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刻 就 有 存盘 操作 。 

(3) Word 功能 混乱 ， 无 法 使 用 。 宏 病毒 能 够 破坏 Word 的 运行 机 制 ， 使 文档 的 打开 、 
关闭 、 存 盘 等 操作 无 法 正常 进行 。 例 如 ，Word 的 .doc 文件 无 法 另存 为 其 他 格式 的 文件 ， 而 
只 能 以 模板 文件 方式 存盘 。 

(4) Word 菜单 命令 消失 。 一 些 病毒 感染 系统 时 ,会 关闭 Word 菜单 的 某 些 命令 ， 以 隐 
藏 和 保护 自己 。 例 如 ，Phardera 病毒 在 其 发 作 时 只 弹出 一 个 对 话 框 ， 干 扰 用 户 的 正常 操作 ， 
而 有 的 病毒 会 去 掉 “ 工 具 ” 菜 单 中 的 “ 宏 ” 和 “ 自 定义 ”命令 ， 阻 止 手工 查 杀 病 毒 。 

(5) Word 文档 的 内 容 发 生变 化 。 例 如 ，Wazzu 病毒 感染 文档 后 ， 会 打 乱 原 格 式 ， 并 
在 文档 中 加 入 Wazzu; Concep.F 病毒 则 将 原文 档 中 的 “,” e、not 替换 为 “。”、a、and。 


2. Word 宏 病 毒 的 防范 


对 于 Word 宏 病 毒 的 防范 ， 要 注意 以 下 几 点 。 

(1) 对 于 已 染病 毒 的 Normal.dot 文件 ， 应 先 将 Normal.dot 中 的 自动 宏 清除 ， 然 后 将 
Normal.dot 设置 成 只 读 方 式 。 

(2) 对 于 其 他 已 感染 病毒 的 文件 均 应 将 自动 宏 清 除 ， 这 样 就 可 以 达到 清除 病毒 的 目的 。 

(3) 平时 使 用 时 要 加 强 防 范 : 定期 检查 活动 宏 表 ， 对 来 历 不 明 的 宏 最 好 予以 删除 ， 如 
果 发 现 后 级 为 .doc 的 文件 变 成 模板 .dot) 时 ， 则 可 怀疑 其 已 感染 宏 病 毒 ， 其 主要 表现 是 在 
Save As 文档 时 ， 选 择 文件 类 型 的 下 拉 列 表 框 变 为 灰色 。 

(4) 在 启动 Word、 创 建文 档 、 打 开 文 档 、 关 闭 文档 以 及 退出 Word 时 ， 按 住 Shift 键 
可 以 阻止 自动 宏 的 运行 。 例 如 ， 当 用 含有 AutoNew 宏 的 模板 新 建 一 文档 时 ， 在 “新 建 ” 对 
话 框 中 单 击 “确定 ” 按 钮 时 按 住 Shift 键 ， 就 可 以 阻止 AutoNew 宏 的 执行 。 

(5) 存储 一 个 文档 时 ， 务必 明确 指定 该 文档 的 扩展 名 。 宏 病毒 总 是 试图 把 模板 文件 的 
扩展 名 加 到 用 户 指定 的 文件 名 后 面 ， 无 论 扩展 名 是 否 已 经 存在 。 例 如 ， 用 户 指 定 文件 名 为 
test.doc， 最 终 这 个 文件 名 会 变 为 test.doc.dot， 显 然 这 个 文件 名 在 DOS 下 是 不 可 接受 的 。 由 
此 就 可 以 察觉 到 宏 病 毒 的 存在 。 

3. Word 宏 病 毒 的 清除 


对 于 Word 宏 病 毒 ， 最 简单 的 清除 步骤 如 下 。 

(1) 在 没 打开 任何 文件 (文档 文件 或 模板 文件 ) 的 情况 下 ， 启 动 Word。 

(2) 选择 “工具 ”|“ 模 板 和 加 载 项 ”命令 ,打开 “模板 和 加 载 项 ”对 话 框 ， 单 击 “ 管 
理 器 ”按钮 ， 打 开 “ 管 理 器 ”对 话 框 。 

(3) 选择 “ 宏 方 案 项 ”选项 卡 ， 删 除 左右 两 个 列表 框 中 除了 自己 定义 之 外 的 所 有 宏 ， 
单 击 “ 关 闭 ” 按 钮 关闭 对 话 框 。 

(4) 选择 “工具 ”|“ 宏 ”命令 ， 若 有 AutoOpen、AutoNew、AutoClose 等 宏 ， 则 
删除 。 

以 上 步骤 ， 可 清除 Word 系统 中 的 宏 病毒 。 
于 Word 宏 病毒 会 寄生 在 任何 .doc 文档 中 , 可 在 打开 .doc 文件 后 ,重复 上 面 步骤 (2) 一 
(4)， 然 后 将 文件 存盘 ， 以 清除 .doc 文档 中 的 病毒 。 
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7.5 ”计算 机 病毒 的 现状 和 发 展 趋势 


7.5.1 计算 机 病毒 的 现状 


2004 年 6 月 ， 手 机 病毒 Cabir 被 发 现 ， 并 在 欧洲 掀起 了 波澜 。 随 后 ， 瑞 星 在 8 月 截获 
了 “ 布 若 达 ”(backdoorwince.bradora) 病毒 ， 手 机 病毒 开始 引起 人 们 的 广泛 关注 。 

手机 病毒 主要 是 通过 短信 、 下 载 文件 、 红 外 、 蓝 牙 等 无 线 网 络 连接 方式 进行 传播 。 而 
手机 同样 会 因为 中 了 病毒 而 出 现 死机 、 电 话 德 丢失 等 意外 情况 ， 此 外 ， 还 会 对 各 种 移动 设 
备 产生 类 似 的 破坏 作用 。2004 年 利用 手机 无 线 传送 功能 传播 的 病毒 同比 增加 了 80%， 通 过 
手机 操作 系统 扩散 的 病毒 增加 了 25%， 利 用 短信 、 彩 信 传 播 的 手机 病毒 增加 了 48%。 

手机 病毒 与 传统 计算 机 病毒 的 区 别 在 于 : 手机 病毒 利用 了 手机 的 无 线 扩展 功能 进行 传 
播 ， 而 计算 机 病毒 则 是 利用 了 电子 邮件 、 浏 览 网 页 、 即 时 通信 等 进行 传播 。 同 时 ， 手 机 病 
毒 与 计算 机 病毒 又 有 着 很 大 的 联系 ， 它 们 同属 于 计算 机 病毒 。 可 以 说 ， 计 算 机 是 智能 手机 
病毒 扩散 的 源头 ， 任 何 手机 病毒 都 要 通过 计算 机 进行 编写 。 

2005 年 7 月 13 日 ， 国 内 最 大 的 防 病毒 软件 厂商 江 民 科技 发 布 了 《2005 上 半年 十 大 病 
毒 排行 》 及 《中 国 大 陆地 区 计算 机 病毒 疫情 报告 及 未 来 发 展 趋 势 分 析 》。 报 告 显示 ，2005 
年 上 半年 度 中 国 大 陆地 区 通过 即时 通信 工具 (主要 是 QQ 和 MSN) 进行 传播 的 病毒 已 经 取 
代 电 子 邮 件 成 为 病毒 传播 的 主流 途径 , 在 2005 年 上 半年 十 大 恶性 病毒 排行 榜 中 , 与 即时 通 
信 工 具 QQ 和 MSN 有 关 的 病毒 占据 了 一 半 。2005 年 上 半年 出 现 的 病毒 中 ， 木 马 最 为 活跃 ， 
并 且 十 大 病毒 排行 中 木马 已 经 超越 蠕虫 成 为 新 霸主 。 


7.5.2 计算 机 病毒 的 发 展 趋势 


现在 的 计算 机 病毒 已 经 由 从 前 的 单一 传播 、 单 种 行为 变 成 依赖 于 Internet 传播 , 集 电 子 
邮件 、 文 件 传染 等 多 种 传播 方式 ， 融 木马 、 黑 客 等 多 种 攻击 手段 于 一 身 ， 形 成 一 种 广义 的 
“新 病毒 ” 根据 这 些 病 毒 的 发 展演 变 ， 可 预见 未 来 计算 机 病毒 的 更 新 换代 将 向 多 元 化 方向 
发 展 ， 可 能 具有 如 下 发 展 趋势 。 

1. 病毒 的 网 络 化 

病毒 与 Internet 和 Intranet 更 紧密 地 结合 ， 利 用 Intemet 上 一 切 可 以 利用 的 方式 进行 传 
播 ， 如 电子 邮件 、 局 域 网 、 远 程 管理 、 即 时 通信 工具 等 。 

2. 病毒 功能 的 综合 化 

利用 系统 漏洞 ， 成 为 病毒 有 力 的 攻击 方式 。 新 型 病毒 集 文件 传染 、 蠕 虫 、 木 马 、 黑 客 
程序 特点 于 一 身 ， 破 坏 性 大 大 加 强 。 

随 着 时 间 的 不 断 向 前 推进 ， 黑 客 攻 击 技术 和 病毒 技术 都 在 不 断 发 展 进步 ， 两 者 相互 融 


多 计算 机 网 络 安全 技术 与 应 用 
合 的 趋势 也 更 加 明显 。2003 年 流行 的 “冲击 波 ” 2004 年 流行 的 “震荡 波 ” 都 属于 同一 类 
型 的 混合 型 威胁 。 它 们 既 具 有 传统 蠕虫 病毒 的 “自身 复制 、 修 改 注 册 表 、 向 外 扩散 感染 其 
他 主机 ”特点 ， 又 具有 传统 黑客 攻击 手段 的 “根据 操作 系统 某 一 漏洞 发 起 主动 攻击 ”特征 。 

病毒 和 黑客 结合 ， 将 给 信息 社会 带 来 更 大 的 危害 。 融 合 黑 客 技术 与 病毒 技术 于 一 身 的 
“新 一 代 主动 式 恶意 代码 ” 可 在 极 短 的 时 间 内 ， 利 用 优化 扫描 的 方法 ， 感 染 数 以 万 计 的 、 
有 漏洞 的 计算 机 系统 ， 同时， 还 能 确定 并 记录 用 户 是 否 被 感染 ， 分 析 掌 握 受 害 者 信息 ， 为 
持续 的 攻击 建立 畅通 的 渠道 ， 进 而 实施 更 为 恶劣 的 破坏 行为 。 例 如 ， 黑 客 借 助 于 病毒 广泛 
和 迅速 传播 的 特性 ， 把 黑客 攻击 手段 从 以 前 的 一 对 一 攻击 变 成 了 一 对 多 攻击 模式 。 

3. 传播 途径 的 多 样 化 

病毒 通过 网 络 共享 、 网 络 漏洞 、 网 络 浏览 、 电 子 邮 件 、 即 时 通信 软件 等 途径 进行 传播 。 

4. 病毒 的 多 平台 化 

目前 ， 各 种 常用 的 操作 系统 平台 病毒 均 已 出 现 ， 第 一 个 跨 Windows 和 Linux 平台 的 病 
毒 Winux 也 于 2001 年 3 月 出 现 ， 跨 各 种 新 型 平台 的 病毒 也 陆续 推出 和 普及 。 

手机 和 PDA 等 移动 设备 病毒 已 出 现 ， 还 将 有 更 大 的 发 展 。 

5. 攻击 对 象 趋 于 混合 型 

随 着 防 病毒 技术 的 日 新 月 异 、 传 统 软件 保护 技术 的 广泛 探讨 和 应 用 ， 当 今 的 计算 机 病 
毒 在 实现 技术 上 有 了 一 些 质 的 变化 ， 病 毒 攻击 对 象 趋 于 混合 ， 逐 步 转向 对 可 执行 文件 和 系 
统 引 导 区 同时 感染 ， 在 病毒 源码 的 编制 、 反 跟踪 调试 、 程 序 加 密 、 隐 蔽 性 、 攻 击 能 力 等 方 
面 的 设计 都 呈现 了 许多 不 同一 般 的 变化 。 

6. 使 用 反 跟 踪 技术 

当 用 户 或 防 病毒 技术 人 员 发 现 一 种 病毒 时 ， 一 般 都 要 先 借助 于 DEBUG 等 调试 工具 对 
其 进行 详细 分 析 、 跟 踪 解 前。 为 了 对 抗 动态 跟踪 ， 目 前 的 病毒 程序 中 一 般 都 嵌入 了 一 些 破 
坏 单 步 中 断 INT 1H 和 断 点 设置 中 断 INT 3H 的 中 断 向 量程 序 段 , 从 而 使 动态 跟踪 难以 完成 。 
有 的 病毒 则 通过 对 键盘 进行 封锁 ， 以 禁止 单 步 跟踪 。 

病毒 代码 还 通过 在 程序 中 使 用 大 量 非 正常 的 转移 指令 ， 使 跟踪 者 不 断 迷 路 ， 造 成 分 析 
困难 。 一 般 而 言 ，CALL/RET、CALL FAR/RET、INT/IRET 命令 都 是 成 对 出 现 的 ， 返 回 地 
址 的 处 理 是 自动 进行 的 ， 不 需 编程 者 考虑 ， 但 是 近来 一 些 新 的 病毒 肆意 算 改 返回 地 址 ， 或 
者 在 程序 中 将 上 述 命令 单独 使 用 ， 从 而 使 用 户 无 法 迅速 摸 清 程序 的 转向 。 

7. 增强 隐蔽 性 


病毒 通过 各 种 手段 ， 尽 量 避 免 出 现 容易 使 用 户 产生 怀疑 的 病毒 感染 特征 。 

(1) 避 开 修改 中 断 向 量 值 。 许 多 防 病毒 软件 都 对 系统 的 中 断 向 量 表 进 行 监测 ， 一 旦 发 
现任 何 有 对 系统 内 存 中 断 向 量 表 进 行 修 改 的 操作 ， 将 首先 认为 有 病毒 在 活动 。 因 此 ， 为 避 
免 修 改 中 断 向 量 表 而 留 下 痕迹 ， 有 些 病毒 直接 修改 中 断 服务 子 程序 ， 取得 对 系统 的 控制 权 。 
病毒 采用 修改 .com 文件 首 指针 的 方式 修改 中 断 服务 子 程序 ， 首 先 从 中 断 向 量 表 中 动态 获得 
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中 断 服务 子 程序 入 口 ， 然 后 将 该 入 口 开始 处 3~5 字 节 内 的 指令 内 容 保存 到 病毒 体 工作 区 ， 
最 后 修改 入 口 处 指令 ， 使 其 转向 相应 的 病毒 中 断 服务 子 程序 入 口 ， 在 执行 修改 后 的 子 程序 
后 ， 再 由 病毒 控制 转向 原 正常 的 服务 子 程序 入 口 。 例 如 ，DIRII 病毒 对 INT 21H 中 断 向 量 
的 控制 就 采用 了 类 似 的 手法 。 

(2) 请 求 在 内 存 中 的 合法 身份 。 病毒 为 生 避 舍 察 常 杂 用 以 下 方法 获得 合法 内 存 : 通过 
正常 的 内 存 申请 进行 合法 驻 留 ， 例 如 DONG 病毒 采用 向 内 存 高 端 申 请 2000 字 节 的 正常 空 
间 移 入 病毒 体 ， 通 过 修改 内 存 控制 链 进驻 内 存 ， 驻 留 低 端 内 存 ， 例 如 DIRIT 病毒 驻 留 在 用 
户 可 用 内 存 空间 的 低 端 。 所 以 ， 单 从 内 存 的 使 用 情况 上 很 难 区 分 正常 程序 和 病毒 程序 。 

(3) 维持 宿主 程序 的 外 部 特性 。 病毒 截取 INT 21H 中 断 ， 控 制 原文 件 的 显示 ， 使 已 经 
被 感染 的 程序 在 显示 时 不 改变 原来 特征 , 例如 长 度 、 修 改 日 期 等 。 病毒 也 可 能 截取 INT 13H 
中 断 ， 当 发 现 有 读 硬盘 主 引导 区 或 DOS 分 区 的 操作 时 ， 将 用 原来 的 正确 内 容 显示 给 用 户 ， 
以 迷惑 用 户 。 

(4) 不 使 用 明显 的 感染 标志 。 病毒 不 再 简单 地 根据 某 个 标志 判断 其 本 身 是 否 已 经 在 目 
标 系统 中 存在 ， 而 是 经 过 一 系列 相关 运算 来 判断 某 个 文件 是 否 已 被 感染 。 

8， 进 行 加 密 技术 处 理 

(1) 对 程序 段 进行 动态 加 密 。 病 毒 采取 一 边 执行 一 边 译 码 的 方法 ， 即 后 边 的 机 器 码 是 
与 前 边 的 某 段 机 器 码 运算 后 还 原 的 ， 而 用 DEBUG 等 调试 工具 把 病毒 从 头 到 尾 打印 出 来 ， 
打印 出 的 程序 语句 将 是 被 加 密 的 ， 无 法 阅读 。 

(2) 对 显示 信息 进行 加 密 。 例 如 ,“ 新 世纪 ”病毒 在 发 作 时 ， 将 显示 一 页 书信 ， 但 作 
者 对 此 段 信息 进行 加 密 ， 从 而 不 可 能 通过 直接 调用 病毒 体 的 内 存 映像 寻找 到 它 的 踪影 。 

(3) 对 宿主 程序 段 进行 加 密 。 病 毒 将 宿主 程序 入 口 处 的 儿 个 字 节 经 过 加 密 处 理 后 存储 
在 病毒 体内 ， 这 给 杀毒 修复 工作 带 来 很 大 困难 。 

9， 病 毒 不 断 繁衍 不 同 变种 

目前 病毒 已 经 具有 许多 智能 化 的 特性 ， 例 如 自我 变形 、 自 我 保护 、 自 我 恢复 等 。 在 不 
同 宿主 程序 中 的 病毒 代码 ， 不 仅 绝 大 部 分 不 相同 ， 且 变化 的 代码 段 的 相对 空间 排列 位 置 也 
有 变化 。 病 毒 能 自动 化 整 为 零 ， 分 散 潜伏 到 各 种 宿 主 中 。 对 不 同 的 感染 目标 ， 分 散 潜伏 的 
宿主 也 不 一 定 相同 ， 在 活动 时 又 能 自动 组 合成 一 个 完整 的 病毒 。 例 如 ， 经 过 多 态 病毒 感染 
的 文件 在 不 同 的 感染 文件 之 间 相 似 性 极 少 ， 使 得 防 病毒 检测 成 为 一 项 艰难 的 任务 。 


小 结 


计算 机 病毒 防治 是 信息 系统 安全 的 一 个 重要 方面 ， 了 解 病毒 的 发 展 历史 、 病 毒 特 点 、 
分 类 等 基本 知识 ， 理 解 病毒 的 作用 机 理 ， 掌 握 基本 的 病毒 检查 、 清 除 方法 和 防治 管理 措施 ， 
对 于 构建 安全 的 信息 系统 、 减 小 病毒 所 造成 的 损失 具有 积极 的 作用 。 

计算 机 病毒 是 指 编制 或 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 响 计 


@ 计算 机 网 络 安全 技术 与 应 用 


算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 程序 代码 。 它 具有 发 生 侵害 的 主动 性 、 传 
染 性 、 隐 酸性 、 表 现 性 、 破 坏 性 、 难 确定 性 等 特点 。 它 们 在 结构 上 有 着 共 同性 ， 一 般 由 引 
导 模 块 、 传 染 模块 、 表 现 模块 3 部 分 组 成 。 

计算 机 病毒 能 够 感染 的 只 有 可 执行 代码 ， 按 照 可 执行 代码 的 种 类 可 以 将 计算 机 病毒 分 
为 引导 型 病毒 、 文 件 型 病毒 、 宏 病毒 和 网 络 病毒 四 大 类 。 各 类 病毒 的 工作 机 理 不 尽 相同 。 
了 解 计算 机 病毒 工作 机 理 对 于 防范 计算 机 病毒 、 查 杀 计 算 机 病毒 和 恢复 染 毒 后 的 系统 有 着 
积极 的 意义 。 

恶意 代码 可 以 分 成 需要 宿主 的 程序 和 可 以 独立 运行 的 程序 两 类 ， 其 中 包含 了 后 门 、 逻 
辑 炸 弹 、 特 洛 伊 木 马 、 病 毒 和 蠕虫 等 。 

木马 通常 包含 控制 端 和 被 控制 端 两 部 分 ， 具 有 隐蔽 性 和 非 授 权 性 的 特点 。 它 是 一 种 远 
程控 制 工具 ， 以 简便 、 易 行 、 有 效 而 深 受 黑客 青睐 。 木 马 病毒 主要 以 网 络 为 依托 进行 传播 ， 
窃取 用 户 隐 私 资料 是 其 主要 目的 。 而 且 这 些 木马 病毒 多 具有 引诱 性 与 欺骗 性 ， 是 病毒 新 的 
危害 趋势 。 可 以 通过 查看 系统 端口 开放 的 情况 、 系 统 服务 情况 、 系 统 任务 运行 情况 、 网 卡 
的 工作 情况 、 系 统 日 志 及 运行 速度 有 无 异常 等 对 木马 进行 检测 。 检 测 到 计算 机 感染 木马 后 ， 
就 要 根据 木马 的 特征 来 进行 清除 。 最 好 的 情况 是 不 出 现 木马 ， 这 就 要 求 我 们 平时 要 有 对 木 
马 的 预防 意识 和 措施 ， 做 到 防 患 于 未 然 。 

蠕虫 的 基本 程序 结构 包含 传播 模块 、 隐 藏 模块 和 目的 功能 模块 。 其 传播 过 程 一 般 包 括 
扫描 、 攻 击 和 复制 3 个 阶段 。 它 具有 传播 迅速 、 难 以 清除 、 利 用 操作 系统 和 应 用 程序 的 漏 
洞 主动 进行 攻击 、 传 播 方式 多 样 、 病 毒 制 作 技术 与 传统 的 病毒 不 同 、 与 黑客 技术 相 结合 等 
特点 。 对 于 企业 用 户 来 说 ， 蜂 虫 病 毒 形成 的 威胁 主要 集中 在 服务 器 和 大 型 应 用 软件 上 ;， 而 
对 个 人 用 户 , 主要 是 要 防范 电子 邮件 和 恶意 网 页 传播 方式 与 社会 工程 学 结合 所 形成 的 威胁 。 

计算 机 病毒 的 防治 是 一 个 综合 治理 的 社会 问题 ， 只 有 完善 的 规章 制度 和 健全 的 管理 体 
制 ， 才 能 使 措施 到 位 ， 防 患 于 未 然 ， 减少 病毒 入 侵 后 所 造成 的 损失 。 

病毒 预防 是 指 根据 系统 特性 ， 采 取 相 应 的 系统 安全 措施 预防 病毒 入 侵 计 算 机 系统 。 

病毒 检测 就 是 要 在 特定 的 系统 环境 中 ， 通 过 各 种 检测 手段 来 识别 病毒 ， 并 对 可 疑 的 异 
常情 况 进行 报警 。 病 毒 检 测 主要 是 通过 病毒 扫描 、 系 统 完 整 性 检查 、 分 析 法 、 校 验 和 法 和 
行为 封锁 法 等 5 种 手段 进行 。 

较为 流行 的 防 病毒 软件 包括 卡巴 斯 基 、 诺 顿 、NOD32 等 国际 品牌 和 江 民 KV 系列 、 金 
山 毒 霸 、 瑞 星 杀 毒 软件 、 熊 猫 卫 士 等 国产 品牌 。 

计算 机 网 络 病毒 实际 上 是 一 个 笼统 的 概念 。 一 种 情况 是 ， 计 算 机 网 络 病毒 专 指 在 网 络 
上 传播 并 对 网 络 进行 破坏 的 病毒 ， 另 一 种 情况 是 ， 计 算 机 网 络 病 毒 指 的 是 HTML 病毒 、 
E-mail 病毒 、Java 病毒 等 与 Intemet 有 关 的 病毒 。 它 除 了 具有 可 传播 性 、 可 执行 性 、 破坏 性 、 
可 触发 性 等 计算 机 病毒 的 共性 外 ， 还 具有 感染 速度 快 、 扩 散 面 广 、 传 播 的 形式 复杂 多 样 、 难 
以 彻底 清除 和 破坏 性 大 等 新 特点 。 网 络 病毒 查 杀 的 重点 应 放 在 注册 表 和 系统 程序 的 维护 上 。 

宏 病 毒 由 于 易于 理解 、 易 于 编写 和 修改 ， 形 成 了 变种 多 、 传 播 广 的 特点 ， 也 为 查 杀 病 
毒 带 来 一 定 的 难度 。 了 解 宏 病毒 的 特征 ， 正 确 维护 宏 病 毒 赖 以 生存 的 系统 平台 ， 可 积极 有 
效 地 防范 宏 病 毒 。 
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根据 病毒 的 发 展演 变 ， 可 预见 未 来 计算 机 病毒 的 更 新 换代 将 向 多 元 化 方向 发 展 ， 可 能 
具有 病毒 的 网 络 化 、 病 毒 功能 的 综合 化 、 传 播 途径 的 多 样 化 、 病 毒 的 多 平台 化 、 攻 击 对 象 
趋 于 混合 型 、 使 用 反 跟 踪 技 术 、 增 强 隐蔽 性 、 进 行 加 密 技 术 处 理 和 不 断 繁 衍 不 同 变种 等 发 


展 趋势 。 


和 wmDP 一 


全 


练习 与 思考 


什么 是 计算 机 病毒 ? 它 有 什么 特点 ? 它 对 系统 的 破坏 主要 表现 为 哪些 形式 ? 

简 述 计算 机 病毒 的 发 展 史 。 

常见 的 计算 机 病毒 如 何 分 类 ? 每 一 类 分 类 方法 又 可 以 分 为 哪 几 种 ? 

计算 机 病毒 能 够 形成 哪些 危害 ? 

计算 机 病毒 一 般 由 哪些 模块 组 成 ? 每 个 模块 的 作用 各 是 什么 ? 

各 类 计算 机 病毒 的 工作 机 理 各 是 什么 ? 

什么 是 恶意 代码 ? 它 可 以 分 成 哪 两 类 ? 每 一 类 分 别 包含 了 哪些 恶意 代码 ? 试 简 述 


每 一 种 恶意 代码 的 特点 。 


8. 
9; 
10; 
1 
了 到， 
T35 
14. 
5: 
16. 
LF 
18. 
19， 
20. 
21: 
22: 
23. 
24. 
23: 
26. 
Pp 
28. 


什么 是 木马 ? 简 述 其 工作 原理 和 工作 过 程 。 

木马 具有 哪些 特点 ? 它 是 如 何 进行 传播 的 ? 简 述 其 危害 。 

如 何 检测 和 清除 木马 ?如 何 预 防 木马 ? 

什么 是 蠕虫? 它 和 普通 病毒 相 比 ， 有 哪些 异同 ? 

蠕虫 的 基本 程序 结构 包含 哪些 模块 ?这 些 模块 各 自 的 功能 分 别 是 什么 ? 
简 述 蠕虫 程序 的 传播 过 程 。 

里 虫 病毒 能 够 对 网 络 形成 哪些 破坏 ? 

里 虫 病毒 具有 哪些 特点 ? 

企业 用 户 和 个 人 用 户 分 别 应 如 何 防 范 蠕虫 病毒 所 形成 的 威胁 ? 
病毒 进入 系统 ， 主 要 通过 哪些 途径 进行 传播 ? 

病毒 预防 可 以 采取 哪些 简单 有 效 的 措施 ? 

病毒 检测 可 以 采取 哪些 手段 ? 简 述 每 种 手段 的 工作 原理 。 

当 系 统 感染 病毒 以 后 ， 可 以 采取 哪些 措施 进行 紧急 处 理 以 恢复 系统 或 受 损 部 分 ? 
较为 流行 的 防 病毒 软件 包括 哪些 国际 品牌 和 哪些 国产 品牌 ? 
简 述 瑞星 杀毒 软件 的 安装 、 菜 单 功 能 、 使 用 和 升级 方法 。 

网 络 病毒 是 如 何 进 行 传播 的 ? 它 有 哪些 特点 ? 

网 络 病毒 的 防治 工作 具有 哪些 特点 ? 

举例 说 明 如 何 检测 与 清除 网 络 病毒 。 

如 何 检测 宏 病 毒 的 存在 ? 如何 防范 和 清除 Word 宏 病 毒 ? 
手机 病毒 与 传统 计算 机 病毒 的 区 别 在 哪里 ? 

简 述 未 来 计算 机 病毒 的 发 展 趋势 。 


入 侵 检 测 有 系统 


本 章 学 习 要 求 : 

(1) 掌握 入 侵 检测 技术 的 原理 、 类 型 、 检 测 过 程 及 其 发 展 趋势 。 
(2) 掌握 网 络 扫 描 技 术 的 类 型 和 扫描 过 程 。 

(3) 理解 网 络 监听 技术 和 网 络 嗅 探 器 。 

(4) 了 解 几 种 商用 入 侵 检测 系统 的 特点 及 其 工作 机 制 。 

(5) 了 解 IDS 的 发 展 趋势 及 研究 方向 。 


(1) 重点 : 入 侵 检 测 技术 的 原理 和 入 侵 检 测 系 统 的 工作 机 制 。 
(2) 难点 : 网 络 监听 技术 和 网 络 噢 探 器 。 


任何 网 络 数据 库 系统 都 面临 着 各 种 网 络 安全 的 威胁 ， 黑 客 、 攻 击 者 等 网 络 入 侵 者 利用 
网 络 系统 的 安全 防护 漏洞 ， 大 肆 入 侵 系 统 获取 机 密 ， 或 对 系统 进行 恶意 破坏 等 。 因 此 ， 快 
速 的 网 络 入 侵 检测 和 恢复 对 网 络 安全 而 言 至 关 重 要 。 

本 章 简单 介绍 入 侵 检测 技术 、 网 络 扫描 技术 、 网 络 监听 技术 和 入 侵 检测 系统 方面 的 
内 容 。 


8.1 人 入侵 检测 的 结构 与 原理 


网 络 入 侵 检测 是 指 从 计算 机 网 络 的 若干 关键 点 收集 信息 并 对 其 进行 分 析 ， 从 中 查找 网 
络 中 是 否 有 违反 安全 策略 的 行为 或 遭 到 入 侵 的 迹象 ， 并 依据 既定 的 策略 采取 一 定 的 软件 与 
硬件 的 组 合 措施 予以 防治 。 
网 络 入 侵 检 测 技 术 是 网 络 动 态 安 全 的 核心 技术 ， 相 关 设 备 和 系统 是 整个 安全 防护 体系 
的 重要 组 成 部 分 。 目 前 ， 防 火 墙 沿用 的 仍 是 静态 安全 防御 技术 ， 对 于 网 络 环境 下 日 新 月 异 
的 攻击 手段 缺乏 主动 的 响应 ， 不 能 提供 足够 的 安全 保护 ; 而 网 络 入 侵 检测 系统 却 能 对 网 络 
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入 侵 事 件 和 过 程 作出 实时 响应 ， 与 防火 墙 共同 成 为 网 络 安全 的 核心 设备 。 
8.1.1 入 侵 检 测 发 展 历史 


自从 计算 机 问世 以 来 , 安全 问题 就 一 直 存 在 。 特别 是 随 着 Internet 的 迅速 扩张 和 电子 商 
务 的 兴起 ， 人 们 发 现 保护 资源 和 数据 的 安全 ， 使 之 免 受 来 自 恶 意 入 侵 者 的 威胁 是 件 相当 困 
难 的 事 。 提 到 网 络 安全 ， 很 多 人 首先 想到 的 便 是 防火 墙 。 防 火 墙 作为 一 种 静态 的 访问 控制 
类 安全 产品 ， 通 常 使 用 包 过 滤 的 技术 来 实现 网 络 的 隔离 。 适 当 配置 的 防火 墙 虽然 可 以 将 非 
预期 的 访问 请 求 屏蔽 在 外 , 但 不 能 检查 出 经 过 它 的 合法 流量 中 是 否 包含 着 恶意 的 入 侵 代码 。 
在 这 种 需求 背景 下 ， 入 侵 检 测 系统 (Intrusion Detection System，IDS) 应运 而 生 。 

入 侵 检测 系统 是 将 电子 数据 处 理 、 安 全 审计 、 模 式 匹配 及 统计 技术 等 有 机 地 融合 在 一 
起 ， 通 过 分 析 被 检测 系统 的 审计 数据 或 直接 从 网 络 中 捕获 数据 ， 查 找 其 中 是 否 有 违背 安全 
策略 或 危及 系统 安全 的 行为 和 活动 。 

入 侵 检测 是 一 门 综合 性 技术 ， 既 包括 实时 检测 技术 ， 也 有 事后 分 析 技术 。 尽 管用 户 希 
望 通过 部 署 IDS 来 增强 网 络 安全 ， 但 不 同 的 用 户 需求 也 不 同 ， 加 之 攻击 的 不 确定 性 ， 单 一 
的 IDS 产品 可 能 无 法 做 到 面面俱到 。 因 此 ，IDS 的 未 来 发 展 必 然 是 多 元 化 的 ， 只 有 通过 不 
断 改进 和 完善 才能 更 好 地 协助 网 络 进行 安全 防御 。 

入 侵 检测 技术 的 发 展 已 经 历 了 4 个 主要 阶段 : 

第 一 阶段 是 以 协议 解码 和 模式 匹配 为 主 的 技术 ， 其 优点 是 对 于 已 知 的 攻击 行为 非常 有 
效 ， 各 种 已 知 的 攻击 行为 可 以 对 号 入 座 ， 误 报 率 低 ， 缺点 是 高 超 的 黑客 采用 变形 手法 或 者 
新 技术 可 以 轻易 躲避 检测 ， 漏 报 率 高 。 

第 二 阶段 是 以 模式 匹配 + 简单 协议 分 析 + 异 常 统计 为 主 的 技术 ， 其 优点 是 能 够 分 析 处 理 
一 部 分 协议 ， 可 以 进行 重组 ;缺点 是 匹配 效率 较 低 ， 管 理 功能 较 弱 。 这 种 检测 技术 实际 上 
是 在 第 一 阶段 技术 的 基础 上 增加 了 部 分 对 异常 行为 分 析 的 功能 。 

第 三 阶段 是 以 完全 协议 分 析 + 模 式 匹 配 + 异常 统计 为 主 的 技术 ， 其 优点 是 误 报 率 、 漏 报 
率 和 滥 报 率 较 低 ， 效 率 高 ， 可 管理 性 强 ， 并 在 此 基础 上 实现 了 多 级 分 布 式 的 检测 管理 ， 缺 
点 是 可 视 化 程度 不 够 ， 防 范 及 管理 功能 较 弱 。 

第 四 阶段 是 以 安全 管理 + 协议 分 析 + 模 式 匹配 + 异常 统计 为 主 的 技术 ， 其 优点 是 入 侵 管 
理 和 多 项 技术 协同 工作 ， 建 立 全 局 的 主动 保障 体系 ， 具 有 良好 的 可 视 化 、 可 控 性 和 可 管理 
性 。 以 该 技术 为 核心 ， 可 构造 一 个 积极 的 动态 防御 体系 ， 即 入 侵 管理 系统 IMS。 

新 一 代 的 入 侵 检测 系统 应 该 是 集成 基于 主机 的 入 侵 检测 系统 (Host-based Intrusion 
Detection System，HIDS) 和 基于 网 络 的 入 侵 检测 系统 (Network-based Intrusion Detection 
System，NIDS) 的 优点 、 部 署 方便 、 应 用 灵活 、 功 能 强大 、 并 提供 攻击 签名 、 检 测 、 报 告 
和 事件 关联 等 配套 服务 功能 的 智能 化 系统 。 

目前 的 IDS 还 存在 着 很 多 缺陷 : 首先 ， 目 前 的 技术 还 不 能 对 付 训 练 有 素 的 黑客 的 复杂 
攻击 ， 其 次 ， 系 统 的 虚 警 率 太 高 ， 最后， 系统 需要 对 大 量 的 数据 进行 处 理 ， 非 但 无 助 于 解 
决 问题 ， 还 降低 了 处 理 能 
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无 论 从 规模 还 是 从 方法 上 ， 入 侵 技术 近年 来 都 发 生 了 许多 变化 ， 入 侵 的 手段 与 技术 也 
有 了 “进步 与 发 展 "”。 入 侵 技术 的 发 展 与 演化 ， 主 要 反映 在 下 列 儿 个 方面 。 

(1) 入 侵 或 攻击 的 综合 化 与 复杂 化 。 以 前 的 入 侵 者 往往 采取 一 种 攻击 手段 ， 随 着 网 络 
防范 技术 的 多 重 化 ， 攻 击 的 难度 增加 ， 如 今 入 侵 者 在 实施 入 侵 或 攻击 时 往往 同时 采取 多 种 
入 侵 的 手段 ， 以 保证 入 侵 的 成 功 几率 ,并 可 在 攻击 实施 的 初期 掩盖 攻击 或 入 侵 的 真实 目的 。 

(2) 入 侵 主体 对 象 的 间接 化 ， 即 实施 入 侵 与 攻击 的 主体 的 隐蔽 化 。 通 过 一 定 的 技术 ， 
可 掩盖 攻击 主体 的 源 地 址 及 主机 位 置 ， 即 使 用 了 隐蔽 技术 后 ， 对 被 攻击 对 象 实施 攻击 的 主 
体 是 无 法 直接 确定 的 。 

(3) 入 侵 或 攻击 的 规模 扩大 。 对 于 网 络 的 入 侵 与 攻击 ， 在 其 初期 往往 是 针对 于 某 公司 
或 某 个 网 站 ， 其 攻击 的 目的 可 能 仅仅 是 为 了 炫 炮 技术 能 力 、 猫 奇 ， 当 然 也 不 排除 商业 的 盗 
窃 与 破坏 行为 。 由 于 战争 对 电子 技术 与 网 络 技术 的 依赖 性 越 来 越 大 ， 随 之 产生 、 发 展 、 逐 
步 升 级 到 电子 战 与 信息 战 。 对 于 信息 战 ， 无 论 其 规模 与 技术 都 与 一 般 意 义 上 的 计算 机 网 络 
的 入 侵 与 攻击 不 可 相提并论 。 信 息 战 的 成 败 与 国家 主干 通信 网 络 的 安全 ， 是 与 任何 主权 国 
家 领土 安全 一 样 的 国家 安全 。 

(4) 入 侵 或 攻击 技术 的 分 布 化 。 以 往常 见 的 入 侵 与 攻击 行为 往往 由 单机 执行 ， 由 于 防 
范 技术 的 发 展 使 得 此 类 行为 往往 不 能 奏效 。 于 是 ， 黑 客 们 转 而 采用 分 布 式 攻击 手段 ， 如 分 
布 式 拒绝 服务 DDoS， 在 很 短 时 间 内 即 可 造成 被 攻击 主机 的 瘫 病 ， 且 此 类 分 布 式 攻击 的 单 
机 信息 模式 与 正常 通信 无 异 ， 所 以 往往 在 攻击 发 动 的 初期 不 易 被 确认 。 分 布 式 攻击 是 近期 
黑客 最 常用 的 攻击 手段 。 

(5) 攻击 对 象 的 转移 。 入 侵 与 攻击 常 以 网 络 为 侵犯 的 主体 , 但 近期 来 的 攻击 行为 却 发 
生 了 策略 性 的 改变 ， 由 攻击 网 络 改 为 攻击 网 络 的 防护 系统 ， 且 有 愈演愈烈 的 趋势 。 目 前 已 
有 专门 针对 IDS 进行 攻击 的 报道 。 攻 击 者 详细 地 分 析 了 IDS 的 审计 方式 、 特 征 描述 、 通 信 
模式 ， 从 而 找 出 IDS 的 弱点 ， 然 后 加 以 攻击 。 

随 着 时 代 的 发 展 ， 入 侵 检测 技术 将 朝 着 3 个 方向 发 展 。 

(1) 分 布 式 入 侵 检 测 : 第 一 层 含义 , 即 针对 分 布 式 网 络 攻击 的 检测 方法 ; 第 二 层 含义 ， 
即使 用 分 布 式 的 方法 来 检测 分 布 式 的 攻击 ， 其 中 的 关键 技术 为 检测 信息 的 协同 处 理 与 入 侵 
攻击 的 全 局 信息 的 提取 。 

(2) 智能 化 入 侵 检测 : 即使 用 智能 化 的 方法 与 手段 来 进行 入 侵 检测 。 所 谓 的 智能 化 方 
法 ， 现 阶段 常用 的 有 神经 网 络 、 遗 传 算法 、 模 糊 技术 、 免 疫 原理 等 方法 ， 这 些 方法 常用 于 
入 侵 特征 的 辨识 与 泛 化 。 利 用 专家 系统 的 思想 来 构建 入 侵 检测 系统 也 是 常用 的 方法 之 一 。 
特别 是 具有 自学 能 力 的 专家 系统 ， 实 现 了 知识 库 的 不 断 更 新 与 扩展 ， 设 计 的 入 侵 检 测 系统 
的 防范 能 力 不 断 增强 ， 具 有 更 广泛 的 应 用 前 景 。 应 用 智能 化 的 概念 来 进行 入 侵 检测 的 尝试 
也 已 有 报道 。 较 为 一 致 的 解决 方案 应 为 高 效 常规 意义 下 的 入 侵 检 测 系统 与 具有 智能 检测 功 
能 的 检测 软件 或 模块 的 结合 使 用 。 

(3) 全 面 的 安全 防御 方案 : 即使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 网 络 安 全 问 
题 ， 将 网 络 安全 作为 一 个 整体 工程 来 处 理 。 从 管理 、 网 络 结构 、 加 密 通道 、 防 火 墙 、 病 毒 
防护 、 入 侵 检测 多 方位 对 所 关注 的 网 络 作出 全 面 的 评估 ， 然 后 提出 可 行 的 整体 解决 方案 。 
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8.1.2 入侵 检测 原理 与 系统 结构 


1. 入 侵 检测 原理 
入 侵 检测 可 分 为 实时 入 侵 检测 和 事后 入 侵 检测 ， 其 原理 分 别 如 图 8-1 和 图 8-2 所 示 。 


用 户 当前 操作 


用 户 历史 行为 
专家 知识 


神经 网 络 模型 


用 户 当前 操作 


图 8-1 实时 入 侵 检测 原理 图 8-2 事后 入 侵 检 测 原理 
实时 入 侵 检 测 在 网 络 连接 过 程 中 进行 ， 系 统 根据 用 户 的 历史 行为 模型 、 存 储 在 计算 机 
中 的 专家 知识 以 及 神经 网 络 模型 对 用 户 当前 的 操作 进行 判断 ， 一 旦 发 现 入 侵 迹 象 立 即 断 开 
入 侵 者 与 主机 的 连接 ， 并 收集 证 据 和 实施 数据 恢复 。 事 后 入 侵 检测 由 网 络 管理 人 员 定 期 或 
不 定期 进行 , 根据 计算 机 系统 对 用 户 操 作 所 做 的 历史 审计 记录 判断 用 户 是 否 具有 入 侵 行为 
如 果 有 就 断 开 连 接 ， 并 记录 入 侵 证 据 和 进行 数据 恢复 ; 但 是 其 入 侵 检 测 的 能 力 不 如 实时 入 
侵 检测 系统 。 
2. 入 侵 检测 的 过 程 
所 谓 入 侵 检测 ， 就 是 从 计算 机 网 络 或 计算 机 系统 中 若干 关键 点 收集 信息 并 对 其 进行 分 
析 ， 从 中 查找 网 络 或 系统 中 是 和 否 有 违反 安全 策略 的 行为 和 遭 到 攻击 的 迹象 ， 同 时 作出 响应 。 
入 侵 检测 通过 执行 以 下 任务 来 实现 : 
@ 监视、 分 析 用 户 及 系统 活动 。 
系统 构造 和 弱点 的 审计 。 
识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 士 报警 。 
异常 行为 模式 的 统计 分 析 。 
评估 重要 系统 和 数据 文件 的 完整 性 。 
操作 系统 的 审计 跟踪 管理 ， 并 识别 用 户 违反 安全 策略 的 行为 。 
入 侵 检测 的 一 般 过 程 包括 信息 收集 和 信息 检测 分 析 。 
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(1) 信息 收集 

网 络 入 侵 检 测 的 第 一 步 是 信息 收集 ， 内 容 包 括 系 统 、 计 算 机 网 络 、 数 据 及 用 户 活动 的 
状态 和 行为 。 而 且 ， 需 要 在 计算 机 网 络 系统 中 的 若干 不 同 关 键 点 〈 不 同 网 段 和 不 同 主机 ) 
收集 信息 。 这 除了 尽 可 能 扩大 检测 范围 的 因素 外 ， 还 有 一 个 重要 的 因素 就 是 从 一 个 信息 源 
来 的 信息 有 可 能 看 不 出 疑点 ， 但 从 几 个 源 来 的 信息 的 不 一 致 性 却 是 可 疑 行为 或 入 侵 的 最 好 
标识 。 入 侵 检测 很 大 程度 上 依赖 于 收集 信息 的 可 靠 性 和 正确 性 。 入 侵 检 测 利用 的 信息 一 般 
来 自 以 下 4 个 方面 : 

@ 系统 和 计算 机 网 络 日 志文 件 

入 侵 者 经 常 在 系统 日 志文 件 中 留 下 他 们 的 踪迹 ， 因 此 充分 利用 系统 和 计算 机 网 络 日 志 
文件 信息 是 检测 入 侵 的 必要 条 件 。 日 志文 件 中 记录 了 各 种 行为 类 型 ， 每 种 类 型 又 包含 不 同 
的 信息 , 例如 记录 “用 户 活动 ” 类 型 的 日 志 就 包含 登录 、 用 户 ID 改变 、 用 户 对 文件 的 访问 、 
授权 和 认证 信息 等 内 容 。 通 过 查看 日 志文 件 ， 能 够 发 现成 功 的 入 侵 或 入 侵 企 图 ， 并 很 快 地 
启动 相应 的 应 急 响 应 程序 。 

@ 目录 和 文件 中 不 期 望 的 改变 

计算 机 网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 ， 其 中 含有 重要 信息 的 文件 和 
私有 数据 文件 经 常 是 攻击 者 修改 或 破坏 的 目标 。 目 录 和 文件 中 不 期 望 的 改变 〈 包 括 修改 、 
创建 和 删除 ), 特别 是 那些 正常 情况 下 限制 访问 的 , 很 可 能 就 是 一 种 入 侵 产 生 的 指示 和 信号。 
攻击 者 经 常 替换 、 修 改 和 破坏 他 们 获得 访问 权 的 系统 中 的 文件 ， 同 时 为 了 隐藏 系统 中 他 们 
的 表现 及 活动 痕迹 ， 都 会 尽力 去 蔡 换 系统 程序 或 修改 系统 日 志文 件 。 

@ 程序 执行 中 的 不 期 望 行为 

计算 机 网 络 系统 中 的 程序 一 般 包括 操作 系统 、 计 算 机 网 络 服 务 、 用 户 启 动 的 程序 和 特 
定 目 的 的 应 用 。 每 个 在 系统 上 执行 的 程序 由 一 到 多 个 进程 实现 ， 而 每 个 进程 又 在 具有 不 同 
权限 的 环境 中 执行 ， 这 种 环境 控制 着 进程 可 访问 的 系统 资源 、 程 序 和 数据 文件 等 。 一 个 进 
程 的 执行 行为 由 它 运行 时 执行 的 操作 来 表现 ， 操 作 执行 的 方式 不 同 ， 它 利用 的 系统 资源 也 
就 不 同 。 

一 个 进程 出 现 了 不 期 望 的 行为 ， 表 明 可 能 有 人 正在 入 侵 该 系统 。 入 侵 者 可 能 会 将 程序 
或 服务 的 运行 分 解 ， 从 而 导致 它 失 败 ， 或 者 是 以 非 用 户 或 管理 员 意 图 的 方式 操作 。 

@ 物理 形式 的 入 侵 信 息 

这 包括 两 个 方面 的 内 容 ， 一 是 未 授权 的 对 计算 机 网 络 硬件 的 连接 ;二 是 对 物理 资源 的 
未 授权 访问 。 入 侵 者 会 想方设法 去 突破 计算 机 网 络 的 周边 防卫 ， 如 果 他 们 能 够 在 物理 上 访 
问 内 部 网 ， 就 能 安装 他 们 自己 的 设备 和 软件 ， 进 而 探知 网 上 由 用 户 加 上 去 的 不 安全 (未 授 
权 ) 设备 ， 然 后 利用 这 些 设备 访问 计算 机 网 络 。 

(2) 信息 检测 分 析 

信息 收集 器 将 收集 到 的 有 关系 统 、 计 算 机 网 络 、 数 据 及 用 户 活 动 的 状态 和 行为 等 信息 
传送 到 分 析 器 ， 由 分 析 器 对 其 进行 分 析 。 分 析 器 一 般 采 用 3 种 技术 对 其 进行 分 析 : 模式 匹 
配 、 统 计 分 析 和 完整 性 分 析 。 前 两 种 方法 用 于 实时 的 计算 机 网 络 入 侵 检测 ， 而 完整 性 分 析 
用 于 事后 的 计算 机 网 络 入 侵 检 测 。 
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模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 计算 机 网 络 入 侵 和 系统 误 用 模式 数据 库 进 行 比 
较 ， 从 而 发 现 违 背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 (例如 通过 字符 串 匹 配 以 寻找 一 个 
简单 的 条 目 或 指令 ), 也 可 以 很 复杂 (例如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 )。 
该 方法 的 一 大 优点 是 只 需 收集 相关 的 数据 集合 ， 显 著 减 轻 了 系统 负担 ， 且 技术 已 相当 成 熟 ; 
与 病毒 防火 墙 采用 的 方法 一 样 ， 检 测 的 准确 率 和 效率 都 相当 高 。 但 是 ， 该 方法 的 弱点 就 是 
需要 不 断 地 升级 以 对 付 不 断 出 现 的 攻击 手段 ， 不 能 检测 到 从 未 出 现 过 的 攻击 手段 。 

@) 统计 分 析 

统计 分 析 方 法 首先 给 系统 对 象 〈 例 如 用 户 、 文 件 、 目 录 和 设备 等 ) 创建 一 个 统计 描述 ， 
统计 正常 使 用 时 的 一 些 测 量 属性 〈 例 如 访问 次 数 、 操 作 失败 次 数 和 时 延 等 )。 测 量 属性 的 平 
均值 将 被 用 来 与 计算 机 网 络 、 系 统 的 行为 进行 比较 ， 任 何 观察 值 在 正常 范围 之 外 时 ， 就 认 
为 有 入 侵 发 生 。 其 优点 是 可 检测 到 未 知 的 入 侵 和 更 为 复杂 的 入 侵 ; 缺点 是 误 报 、 漏 报 率 高 ， 
且 不 适应 用 户 正 常 行为 的 突然 改变 。 有 具体 的 统计 分 析 方法 有 基于 专家 系统 的 分 析 方法 、 基 
于 模型 推理 的 分 析 方法 和 基于 神经 计算 机 网 络 的 分 析 方法 。 

完整 性 分 析 主要 关注 某 个 文件 或 对 象 是 否 被 更 改 。 完 整 性 分 析 利 用 强 有 力 的 加 密 机 制 
( 称 为 消息 摘要 函数 ), 能 够 识别 哪怕 是 微小 的 变化 。 其 优点 是 不 管 模式 匹配 方法 和 统计 分 
析 方 法 能 和 否 发 现 入 侵 , 只 要 是 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 ， 它 都 能 发 现 。 
缺点 是 一 般 以 批 处 理 方式 实现 ， 不 用 于 实时 响应 。 尽 管 如 此 ， 完 整 性 检测 方法 依然 是 维护 
计算 机 网 络 安全 的 必要 手段 之 一 。 例如， 可 以 在 每 一 天 的 某 个 特定 时 间 内 开启 完整 性 分 析 
模块 ， 对 计算 机 网 络 系统 进行 全 面 的 扫描 检查 。 

3. 入 侵 检测 系统 的 模型 

根据 入 侵 检测 的 原理 ， 入 侵 检测 系统 至 少 应 该 包含 3 个 模块 ， 即 提供 信息 的 信息 源 、 
发 现 入 侵 迹 象 的 分 析 器 和 入 侵 响 应 部 件 。 为 此 ， 美 国 国防 部 高 级 计划 局 提出 了 公共 入 侵 检 
测 模型 (Common Intrusion Detection Framework，CIDF), 阐述 了 一 个 入 侵 检测 系统 IDS 的 
通用 模型 。 它 将 一 个 入 侵 检 测 系统 分 为 4 个 组 件 ， 如 图 8-3 所 示 。 


响应 单元 


(Response Units ) 
事件 分 析 器 加 事件 数据 库 
(Event Analyzers ) (Event Databases ) 
| | 事件 产生 器 交州 


(Event Generators ) 


源 于 网 络 上 的 数据 包 
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(1) 事件 产生 器 

事件 产生 器 从 系统 所 处 的 计算 机 网 络 环境 中 收集 事件 ， 并 将 这 些 事件 转换 成 一 定格 式 
以 传送 给 其 他 组 件 。 可 以 说 ， 事 件 产生 器 是 实时 监视 网 络 数据 流 并 依据 入 侵 检测 规则 产生 
事件 的 一 种 过 滤器 。 

(2) 事件 数据 库 

事件 数据 库 用 来 存储 事件 产生 器 和 事件 分 析 器 产生 的 临时 事件 ， 以 备 系统 需要 的 时 候 
使 用 。 事 件数 据 库 保 存 的 事件 信息 ， 包 括 正常 事件 信息 和 入 侵 事 件 信 息 ， 也 包括 存储 的 临 
时 处 理 数据 ， 扮 演 各 个 组 件 之 间 的 数据 交换 中 心 。 

(3) 事件 分 析 器 

事件 分 析 器 可 以 是 一 个 特征 检测 工具 ， 用 于 在 一 个 事件 序列 中 检查 是 否 有 已 知 的 攻击 
特征 ， 也 可 以 是 一 个 统计 分 析 工 具 ， 检 查 现在 的 事件 是 否 与 以 前 某 个 事件 来 自 同一 个 事件 
序列 ， 此 外 ， 事 件 分 析 器 还 可 以 是 一 个 相关 器 ， 观 察 事件 之 间 的 关系 ， 将 有 联系 的 事件 放 
到 一 起 ， 以 利于 以 后 的 进一步 分 析 。 

(4) 响应 单元 

响应 单元 根据 事件 产生 器 检测 到 的 和 事件 分 析 器 分 析 到 的 入 侵 行为 而 采取 相应 的 响应 
措施 。 在 检测 到 入 侵 攻 击 后 ， 基 于 网 络 的 入 侵 检测 系统 的 响应 单元 主要 有 两 类 响应 方式 ， 
被 动 响应 方式 和 主动 响应 方式 。 被 动 响应 方式 是 系统 在 检测 出 入 侵 攻 击 后 只 是 产生 报警 和 
日 志 通 知 管理 员 , 具体 处 理工 作 由 管理 员 完 成 ; 主动 响应 方式 是 系统 在 检测 出 入 侵 攻击 后 ， 
可 以 自动 对 目标 系统 或 者 相应 网 络 设备 作出 修改 制止 入 侵 行 为 。 

在 网 络 入 侵 检 测 系统 模型 中 ， 事 件 产生 器 、 事 件 分 析 器 和 响应 单元 通常 以 应 用 程序 的 
形式 出 现 ， 而 事件 数据 库 则 往往 以 文件 或 数据 流 的 形式 出 现 。 这 4 个 组 件 是 网 络 入 侵 检 测 
系统 最 核心 的 部 分 ， 可 以 完成 最 基本 的 入 侵 检 测 功能 。 但 是 作为 一 个 完整 的 网 络 入 侵 检 测 
系统 ， 系 统管 理 组 件 和 日 志 审计 组 件 也 是 必 不 可 少 的 。 系 统管 理 组 件 完成 对 系统 的 操作 与 
配置 ， 而 日 志 审计 组 件 是 任何 安全 设备 必须 具备 的 功能 。 系 统管 理 组 件 负责 网 络 入 侵 检测 
系统 的 管理 ， 主 要 包括 权限 管理 、 设 备 管理 、 规 则 管理 、 升 级 管理 ， 日 志 审计 组 件 完成 对 
操作 日 志和 入 侵 检测 日 志 的 审计 。 


8.1.3 ”入侵 检测 系统 的 分 类 


1. 根据 检测 原理 分 类 


根据 检测 原理 的 属性 可 以 将 入 侵 分 为 异常 和 滥用 两 种 ， 两 者 分 别 建立 了 相应 的 异常 检 
测 模 型 和 滥用 检测 模型 。 

(1) 异常 检测 模型 : 检测 与 可 接受 行为 之 间 的 偏差 。 如 果 可 以 定义 每 项 可 接受 的 行为 ， 
那么 每 项 不 可 接受 的 行为 就 应 该 是 入 侵 。 首 先 总 结 正常 操作 应 该 具有 的 特征 ， 当 用 户 活动 
与 正常 行为 有 重大 偏离 时 即 被 认为 是 入 侵 。 这 种 检测 模型 因为 不 需要 对 每 种 入 侵 行为 进行 
定义 ， 所 以 能 有 效 检测 未 知 的 入 侵 ， 即 漏 报 率 低 ， 但 误 报 率 高 。 

(2) 滥用 检测 模型 : 检测 与 已 知 的 不 可 接受 行为 之 间 的 匹配 程度 。 如 果 可 以 定义 所 有 


第 8 章 入 侵 检测 系统 @ 


的 不 可 接受 行为 ， 那 么 每 种 能 够 与 之 匹配 的 行为 都 会 引起 报警 。 收 集 非 正常 操作 的 行为 特 
征 ， 建 立 相关 的 特征 库 ， 当 监测 的 用 户 或 系统 行为 与 库 中 的 记录 相 匹配 时 ， 系 统 就 认为 这 
种 行为 是 入 侵 。 这 种 检测 模型 误 报 率 低 、 漏 报 率 高 。 对 于 已 知 的 攻击 ， 它 可 以 详细 、 准 确 
地 报告 出 攻击 类 型 ， 但 是 对 未 知 攻击 却 效果 有 限 ， 而 且 特 征 库 必 须 不 断 更 新 。 

2. 按照 检测 对 象 划 分 


(1) 基于 主机 的 入 侵 检测 系统 HIDS: 系统 分 析 的 数据 是 计算 机 操作 系统 的 事件 日 志 、 
应 用 程序 的 事件 日 志 、 系 统 调用 、 端 口 调用 和 安全 审计 记录 。 主 机 型 入 侵 检测 系统 保护 的 
一 般 是 所 在 的 主机 系统 ,是 由 代理 来 实现 的 。 代 理 是 运行 在 目标 主机 上 的 小 的 可 执行 程序 ， 
它们 与 命令 控制 台 通 信 。 

(2) 基于 网 络 的 入 侵 检测 系统 NIDS， 系 统 分 析 的 数据 是 网 络 上 的 数据 包 。 基 于 网 络 
的 入 侵 检测 系统 由 遍及 网 络 的 传感器 组 成 ， 担 负 着 保护 整个 网 段 的 任务 。 传 感 器 是 一 台 将 
以 太 网 卡 置 于 混杂 模式 的 计算 机 ， 用 于 嗅 探 网 络 上 的 数据 包 。 

(3) 混合 型 的 入 侵 检测 系统 ， 基于 主机 和 基于 网 络 的 入 侵 检测 系统 都 有 不 足 之 处 ,会 
造成 防御 体系 的 不 全 面 ， 而 综合 了 两 者 优点 的 混合 型 入 侵 检测 系统 既 可 以 发 现 网 络 中 的 攻 
击 信息 ， 也 可 以 从 系统 日 志 中 发 现 异常 情况 。 

3， 根 据 体系 结构 分 类 


根据 体系 结构 ， 可 以 将 入 侵 检测 系统 (IDS) 分 为 集中 式 、 等 级 式 和 协作 式 3 种 。 

(1) 集 中 式 入 侵 检测 系统 有 一 个 中 央 入 侵 检测 服务 器 和 多 个 分 布 在 不 同 主机 上 的 审计 
程序 。 审 计 程 序 将 收集 的 数据 发 送 给 中 央 服 务 器 进行 处 理 和 分 析 。 这 种 体系 结构 对 中 央 服 
务 器 的 数据 处 理 能 力 和 安全 性 都 提出 了 极 高 的 要 求 。 

(2) 等 级 式 入 侵 检测 系统 定义 了 若干 个 分 等 级 的 监控 区 ,每 一 级 监控 区 负责 自己 本 层 
的 数据 分 析 并 提交 到 上 一 级 监控 区 。 它 将 分 析 处 理 难度 分 摊 ， 但 是 安全 性 没有 得 到 提高 ， 
而 且 对 网 络 拓扑 结构 的 依赖 性 也 比较 大 。 

(3) 协作 式 入 侵 检测 系统 综合 了 前 两 者 的 优点 ， 扬 长 避 短 。 各 个 IDS 不 分 等 级 ， 相 互 
协同 工作 ， 效 率 很 高 ， 但 是 设计 难度 大 ， 维 护 成 本 也 很 高 。 

4. 从 技术 方面 分 类 

从 技术 上 讲 ， 入 侵 检测 技术 可 以 大 致 分 为 基于 知识 的 模式 识别 、 基 于 知识 的 异常 识别 
和 协议 分 析 3 类 ; 而 主要 的 入 侵 检测 方法 有 特征 检测 法 、 概 率 统 计 分 析 法 和 专家 知识 库 
系统 。 

(1) 基于 知识 的 模式 识别 

这 种 技术 是 通过 事先 定义 好 的 模式 数据 库 实现 的 。 其 基本 思想 是 ， 首先 把 各 种 可 能 的 
入 侵 活动 均 用 某 种 模式 表示 出 来 ， 并 建立 模式 数据 库 ， 然 后 监视 主体 的 一 举 一 动 ， 当 检测 
到 主体 活动 违反 了 事先 定义 的 模式 规则 时 ， 根 据 模式 匹配 原则 判别 是 否 发 生 了 攻击 行为 。 

这 种 模式 识别 的 关键 是 建立 入 侵 模 式 的 表示 形式 ， 同 时 要 能 够 区 分 入 侵 行 为 和 正常 行 
为 。 这 种 检测 技术 仅 限于 检测 出 已 建立 模式 的 入 侵 行 为 ， 对 新 型 的 入 侵 是 无 能 为 力 的 ， 仍 
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需 改 进 。 

(2) 基于 知识 的 异常 识别 

这 种 技术 是 通过 事先 建立 正常 行为 档案 库 实现 的 。 其 基本 思想 是 ， 首先 把 主体 的 各 种 
正常 活动 用 某 种 形式 描述 出 来 ， 并 建立 “正常 活动 档案 ” 当 某 种 活动 与 所 描述 的 正常 活动 
存在 差异 时 ， 就 认为 是 “入 侵 ” 行 为 ， 进 而 被 检测 识别 。 利 用 行为 进行 识别 时 存在 四 种 可 
一 是 入 侵 且 行为 正常 ， 二 是 入 侵 且 行 为 异常 ， 三 是 非 入 侵 且 行为 正常 ， 四 是 非 入 侵 且 
行为 异常 。 根 据 异常 识别 思想 ， 把 第 二 种 和 第 四 种 情况 判定 为 “入侵” 行为 。 这 种 检测 技 
术 可 以 检测 出 未 知行 为 ， 并 具有 简单 的 学 习 功 能 。 以 下 是 几 种 基于 知识 的 异常 识别 检测 
方法 : 

@ 基于 审计 的 攻击 检测 技术 

这 种 检测 方法 是 通过 对 审计 信息 的 综合 分 析 实 现 的 。 其 基本 思想 是 ， 根据 用 户 的 历史 
行为 、 先 前 的 证 据 或 模型 ， 使 用 统计 分 析 方法 对 用 户 当前 的 行为 进行 检测 和 判别 ， 当 发 现 
可 疑 行 为 时 ， 保 持 跟 踪 并 监视 其 行为 ， 同 时 向 系统 安全 员 提交 安全 审计 报告 。 

@ 基于 神经 网 络 的 攻击 检测 技术 

由 于 用 户 的 行为 十 分 复杂 , 要 准确 匹配 一 个 用 户 的 历史 行为 和 当前 行为 是 相当 困难 的 ， 
这 也 是 基于 审计 攻击 检测 的 主要 弱点 。 基 于 神经 网 络 的 攻击 检测 技术 代表 了 基于 传统 统计 
技术 的 攻击 检测 方法 的 改进 方向 ， 它 能 够 解决 传统 的 统计 分 析 技 术 所 面临 的 若干 问题 ， 例 
如 建立 确切 的 统计 分 布 、 实 现 方法 的 普遍 性 、 降 低 算法 实现 的 成 本 和 系统 优化 等 问题 。 

@ 基于 专家 系统 的 攻击 检测 技术 

所 谓 专家 系统 就 是 一 个 依据 专家 经 验 定义 的 推理 系统 。 这 种 检测 是 建立 在 专家 经 验 基 
础 上 的 ， 它 根据 专家 经 验 进行 推理 判断 得 出 结论 。 例 如 ， 当 用 户 连 续 3 次 登录 失败 时 ， 可 
以 把 该 用 户 的 第 四 次 登录 视 为 攻击 行为 。 

@ 基于 模型 推理 的 攻击 检测 技术 

攻击 者 在 入 侵 一 个 系统 时 往往 采用 一 定 的 行为 程序 (如 猜测 口令 的 程序 ), 这 种 行为 程 
序 构成 了 某 种 具有 一 定 行为 特征 的 模型 ， 根 据 这 种 模型 所 代表 的 攻击 意图 的 行为 特征 ， 可 
以 实时 地 检测 出 恶意 的 攻击 企图 , 尽管 攻击 者 不 一 定 都 是 恶意 的 。 用 基于 模型 的 推理 方法 ， 
人 们 能 够 为 某 些 行为 建立 特定 的 模型 ， 从 而 能 够 监视 具有 特定 行为 特征 的 某 些 活动 。 根 据 
假设 的 攻击 脚本 ， 这 种 系统 就 能 检测 出 非法 的 用 户 行为 。 一 般 为 了 准确 判断 ， 要 为 不 同 的 
入 侵 者 和 不 同 的 系统 建立 特定 的 攻击 脚本 。 

使 用 基于 知识 的 模式 识别 和 基于 知识 的 异常 识别 所 得 出 的 结论 差异 较 大 ， 甚 至 会 得 出 
相反 的 结论 。 这 是 因为 基于 知识 的 模式 识别 的 核心 是 维护 一 个 入 侵 模式 库 ， 它 对 已 知 攻击 
可 以 详细 、 准 确 地 报告 出 攻击 类 型 ， 但 对 未 知 攻击 却 无 能 为 力 ， 而 且 入 侵 模式 库 必须 不 断 
更 新 ， 而 基于 知识 的 异常 识别 则 是 通过 对 入 侵 活动 的 检测 得 出 结论 的 ， 它 虽 无 法 准确 判断 
出 攻击 的 手段 ， 但 可 以 发 现 更 广泛 的 、 甚 至 未 知 的 攻击 行为 。 

(3) 协议 分 析 

这 种 检测 方法 是 根据 针对 协议 的 攻击 行为 实现 的 。 其 基本 思想 是 :首先 把 各 种 可 能 
对 协议 的 攻击 行为 描述 出 来 ， 然 后 建立 用 于 分 析 的 规则 库 ， 最 后 利用 传感器 检查 协议 中 的 
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有 效 负荷 ， 并 详细 解析 ， 从 而 实现 入 侵 检测 。 
8.1.4 入 侵 检 测 的 主要 性 能 指标 


网 络 入 侵 检测 系统 的 性 能 指标 主要 包括 3 项 ， 即 准确 性 指标 、 效 率 指标 和 系统 指标 。 

1. 准确 性 指标 

准确 性 指标 在 很 大 程度 上 取决 于 测试 时 采用 的 样本 集 和 测试 环境 。 样 本 集 和 测试 环境 
不 同 ， 准 确 性 也 不 相同 。 主 要 包括 3 个 指标 ， 即 检测 率 、 误 报 率 和 漏 报 率 。 

@ 检测 率 是 指 被 监视 网 络 在 受到 入 侵 攻击 时 ， 系 统 能 够 正确 报警 的 概率 。 通 常 利用 
已 知 入 侵 攻 击 的 实验 数据 集合 来 测试 系统 的 检测 率 。 检 测 率 = 入 侵 报 警 的 数量 /入 侵 攻 击 的 
数量 。 

@ 误 报 率 是 指 系统 把 正常 行为 作为 入 侵 攻击 而 进行 报警 的 概率 和 把 一 种 已 知 的 攻击 
错误 报告 为 另 一 种 攻击 的 概率 。 误 报 率 = 错 误 报警 数量 /总 体 正 常 行为 样本 数量 + 总 体 攻击 
本 数量 )。 

@ 漏 报 率 是 指 被 检测 网 络 受到 入 侵 攻 击 时 ,系统 不 能 正确 报警 的 概率 。 通 常 利 用 已 知 
入 侵 攻 击 的 实验 数据 集合 来 测试 系统 的 漏 报 率 。 漏 报 率 = 不 能 报警 的 数量 /入 侵 攻击 的 数量 。 

2. 效率 指标 

效率 指标 根据 用 户 系统 的 实际 需求 ， 以 保证 检测 质量 为 准 ， 同 时 取决 于 不 同 的 设备 级 
别 ， 例 如 百 兆 网 络 入 侵 检测 系统 和 千 兆 网 络 入 侵 检测 系统 的 效率 指标 一 定 有 很 大 差别 。 效 
率 指标 主要 包括 最 大 处 理 能 力 、 每 秒 并 发 TCP 会 话 数 、 最 大 并 发 TCP 会 话 数 等 。 

Q@ 最 大 处 理 能 力 是 指 网 络 入 侵 检测 系统 在 检测 率 下 系统 没有 漏 报 警 的 最 大 处 理 能 力 ， 
目的 是 验证 系统 在 检测 率 下 能 够 正常 报警 的 最 大 流量 。 

@ 每 秒 并 发 TCP 会 话 数 是 指 网 络 入 侵 检测 系统 每 秒 最 大 可 以 增加 的 TCP 连接 数 。 

@ 最 大 并 发 TCP 会 话 数 是 指 网 络 入 侵 检测 系统 最 大 可 以 同时 支持 的 TCP 连接 数 。 

3. 系统 指标 


系统 指标 主要 表征 系统 本 身 运行 的 稳定 性 和 使 用 的 方便 性 。 系 统 指标 主要 包括 最 大 规 
则 数 、 平 均 无 故障 间隔 等 。 

@ 最 大 规则 数 : 系统 允许 配置 的 入 侵 检 测 规则 条 目的 最 大 数目 。 

@ 平均 无 故障 间隔 系统 无 故障 连续 工作 的 时 间 。 

由 于 网 络 入 侵 检测 系统 是 软件 与 硬件 的 组 合 ， 故 性 能 指标 同样 取决 于 软 、 硬 件 两 方面 
的 因素 。 软 件 因素 主要 包括 数据 重组 效率 、 入 侵 分 析 算 法 、 行 为 特征 库 等 因素 ， 硬 件 因 素 
主要 包括 CPU 处 理 能 力 、 内 存 大 小 、 网 卡 质量 等 因素 。 另 外 , 由 于 网 络 安全 的 要 求 在 提高 ， 
黑客 攻击 技术 、 漏 洞 发 现 技 术 和 入 侵 检测 技术 在 不 断 发 展 ， 网 络 入 侵 检 测 系统 的 升级 管理 
功能 也 是 重要 的 指标 之 一 。 用 户 应 及 时 更 新 入 侵 特 征 库 或 升级 软件 版 本 ， 保 证 网 络 入 侵 检 
测 系统 的 有 效 性 。 


陛 


@ 计算 机 网 络 安全 技术 与 应 用 


8.1.5 ”入 侵 检 测 系统 的 部 里 


1. 入 侵 检 测 系统 的 发 展 


入 侵 检测 系统 (IDS) 是 一 种 对 网 络 传输 进行 即时 监视 ， 在 发 现 可 疑 传输 时 发 出 警报 或 
者 采取 主动 反应 措施 的 网 络 安全 设备 。 与 其 他 网 络 安全 设备 的 不 同 之 处 在 于 ，IDS 是 一 
积极 主动 的 安全 防护 技术 。IDS 最 早出 现在 1980 年 4 月 ，James P Anderson 为 美国 空军 作 
了 一 份 题 为 《Computer Security Threat Monitoring and Surveillance》 的 技术 报告 ， 在 其 中 他 
提出 了 IDS 的 概念 .到 了 20 世纪 80 年 代 中 期 , IDS 逐渐 发 展 成 为 入 侵 检测 专家 系统 IDES。 
1990 年 ，IDS 分 化 为 基于 网 络 的 IDS 和 基于 主机 的 IDS， 随 后 又 出 现 了 分 布 式 IDS。 
由 于 入 侵 检 测 系统 的 市 场 在 近 几 年 中 飞速 发 展 ， 许 多 公司 开始 投入 到 这 一 领域 上 来 。 
除了 国外 的 ISS、Axent、NFR、Cisco 等 公司 外 ， 国 内 也 有 数 家 公司 《例如 中 联 绿 盟 、 中 科 
网 威 等 ) 推出 了 自己 相应 的 产品 。 但 就 目前 而 言 ,入侵 检 测 系 统 还 缺乏 相应 的 标准 。 目 前 
有 两 个 组 织 试图 对 IDS 进行 标准 化 , 即 IETF 的 IDWG (Intrusion Detection Working Group) 
和 CIDF (Common Intrusion Detection Framework)， 但 进展 非常 缓慢 ， 尚 没有 被 广泛 接受 的 
标准 出 台 。 

目前 ， 入 侵 检 测 产品 的 主要 厂商 有 ISS 公司 (RealSecure)、Axent 公司 (IITA、ESM)， 
以 及 NAI (CyberCop Monitor)。 它 们 都 在 入 侵 检测 技术 上 有 着 多 年 的 研究 。 其 中 ，ISS 公 
司 的 RealSecured 智能 攻击 识别 技术 是 当前 IDS 系统 中 最 为 先进 的 。 

2. 入 侵 检测 系统 的 作用 


入 侵 检测 系统 作为 一 种 积极 主动 的 安全 防护 工具 ， 提 供 了 对 内 部 攻击 、 外 部 攻击 和 误 
操作 的 实时 防护 ， 在 计算 机 网 络 和 系统 受到 危害 之 前 进行 报警 、 拦 截 和 响应 。 其 主要 作用 
归纳 如 下 : 

(1) 监视 用 户 和 系统 的 运行 状况 ， 查 找 非 法 用 户 和 合法 用 户 的 越权 操作 。 

(2) 检测 系统 配置 的 正确 性 和 安全 漏洞 ， 并 提示 管理 人 员 修 补漏 洞 。 

(3) 对 用 户 的 非 正常 活动 进行 统计 分 析 ， 发 现 入 侵 行为 的 规律 。 

(4) 检查 系统 程序 和 数据 的 一 致 性 和 正确 性 ， 例 如 计算 和 比较 文件 系统 的 校 验 和 。 

(5) 能 够 实时 对 检测 到 的 入 侵 行 为 进行 反应 。 

(6) 操作 系统 的 审计 跟踪 管理 。 

入 侵 检测 系统 在 网 络 安全 和 军事 斗争 中 起 到 了 非常 重要 的 作用 ; 而 在 经 济 领域 中 ， 它 


可 以 及 时 发 现 、 阻 拦 入 侵 行为 ， 保 护 企业 来 自 不 满员 工 、 黑 客 和 竞争 对 手 的 威胁 ， 保 证 企 
业 信 息 平台 的 正常 运转 …… 由 此 也 决定 了 入 侵 检 测 系统 商业 化 的 必然 趋势 。 


3. 入 侵 检测 系统 的 部 署 


在 目前 的 网 络 拓扑 中 ， 已 经 很 难 找到 以 前 Hub 式 的 共享 介质 冲突 域 的 网 络 ， 绝 大 部 分 
的 网 络 区 域 都 已 经 全 面 升级 到 交换 式 的 网 络 结构 。 因 此 ，IDS 在 交换 式 网 络 中 的 位 置 一 般 
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选择 在 尽 可 能 靠近 攻击 源 和 受 保护 的 资源 处 (通常 是 在 服务 器 区 域 的 交换 机 上 、Intemet 接 
入 路 由 器 之 后 的 第 一 台 交 换 机 上 或 重点 保护 网 段 的 局 域 网 交换 机 上 )。 
经 典 入 侵 检测 系统 的 部 署 方式 如 图 8-4 所 示 。 


用 户 


IDS 检 测 引擎 


图 8-4 经 典 的 入 侵 检 测 系统 的 部 署 方式 


8.2 ”网络 扫描 和 网 络 监听 


8.2.1 网 络 系统 的 涡 洞 


1. 网络 系 统 漏洞 的 概念 

网 络 系统 漏洞 也 称 为 网 络 系统 的 脆弱 性 、 缺 陷 等 ， 是 指 网 络 系统 的 软件 、 硬 件 或 策略 
上 的 不 安全 因素 。 网 络 系统 漏洞 可 以 分 为 两 类 : 软 漏洞 和 硬 漏洞 。 软 漏洞 是 由 网 络 系统 配 
置 不 当 引起 的 ， 硬 漏洞 是 软件 或 硬件 厂商 的 生产 过 程 造 成 的 。 网 络 系统 的 脆弱 性 是 网 络 安 
全 评估 的 测试 对 象 ， 评 估 者 对 其 的 理解 和 测试 方法 是 影响 评估 结果 的 决定 因素 。 

2. 网 络 系统 漏洞 的 主要 表现 

网 络 系统 的 漏洞 主要 表现 在 以 下 几 个 方面 : 

1) 网 络 操作 系统 的 缺陷 

(1) 网 络 操作 系统 体系 结构 自身 并 不 安全 : 操作 系统 程序 具有 动态 连接 性 ; 操作 系统 
可 以 在 远程 节点 上 创建 并 激活 进程 ， 被 创建 的 进程 还 可 以 继续 创建 其 他 进程 ， 网 络 操作 系 
统 为 了 维护 的 方便 而 预 留 的 无 口令 入 口 成 了 黑客 的 通道 。 

(2) 计算 机 系统 的 软件 和 硬件 故障 ， 例 如 硬盘 故障 、 电 源 故 障 、 芯 片 故 障 等 造成 了 计 
算 机 系统 的 脆弱 性 。 

(3) 网 络 端口 、 传 输 线 路 和 处 理 机 有 可 能 因 屏 蔽 不 严 而 造成 电磁 信息 辐射 ， 从 而 造成 
信息 泄露 。 


古 / 计算 机 网 络 安全 技术 与 应 用 


2) 软件 安全 漏洞 

网 络 信息 系统 由 硬件 和 软件 组 成 。 由 于 软件 程序 的 复杂 性 和 编程 的 多 样 性 ， 在 网 络 信 
息 系统 的 软件 中 很 容易 有 意 或 无 意 地 留 下 一 些 不 易 被 发 现 的 安全 漏洞 。 软 件 安全 漏洞 主要 
有 以 下 儿 个 方面 : 

(1) 应 用 软件 的 安全 漏洞 

所 谓 应 用 软件 的 安全 漏洞 , 是 指 应 用 软件 在 逻辑 设计 上 的 缺陷 或 在 编写 时 产生 的 错误 ， 
该 缺陷 或 错误 可 以 被 不 法 者 或 计算 机 黑客 利用 ， 通 过 植 入 木马 、 病 毒 等 方式 来 攻击 或 控制 
整个 计算 机 ， 从 而 窃取 用 户 计 算 机 中 的 重要 资料 和 信息 ， 甚 至 破坏 用 户 的 系统 。 

(2) 操作 系统 的 安全 漏洞 

操作 系统 是 整个 网 络 信息 系统 的 核心 控制 软件 ， 直 接 影响 整个 系统 的 信息 安全 。 操 作 
系统 的 安全 漏洞 主要 有 输入 /输出 的 非法 访问 和 操作 系统 陷 门 两 大 类 。 

Q@ 输入 /输出 的 非法 访问 

非法 访问 包括 两 种 : 一 种 是 一 些 操作 系统 对 输入 /输出 操作 只 检查 一 次 ， 第 一 次 检查 通 
过 后 ， 往 后 的 输入 /输出 操作 就 不 再 检查 了 ， 为 后 续 的 非法 访问 创造 了 条 件 ; 另 一 种 是 一 些 
操作 系统 使 用 没有 严格 保护 的 公共 系统 缓冲 区 ， 任 何 用 户 都 可 以 搜索 这 个 缓冲 区 ， 其 中 的 
一 些 机 密 信息 〈 口 令 、 账 号 等 ) 就 可 能 被 泄露 。 

@ 操作 系统 陷 门 

某 些 操作 系统 为 了 安装 其 他 公司 的 软件 包 而 保留 了 一 种 特殊 的 管理 程序 功能 ， 尽 管 此 
管理 功能 的 调用 需要 以 特权 方式 进行 ， 但 是 并 未 受到 严密 的 监控 ， 缺 乏 必 要 的 认证 和 访问 
权 的 限制 ， 有 可 能 被 用 于 安全 访问 控制 ， 从 而 形成 操作 系统 陷 门 。 

为 了 建立 安全 的 操作 系统 ， 首 先 必须 构造 操作 系统 的 安全 模型 和 不 同 的 实施 方法 ， 其 
次 应 该 采用 诸如 隔离 等 安全 、 科 学 的 操作 系统 设计 方法 ， 此 外 ， 还 需要 建立 和 完善 操作 系 
统 的 评估 标准 、 评 价 方法 和 质量 测试 。 

(3) 数据 库 的 安全 漏洞 

数据 库 管理 系统 DBMS 作为 管理 数据 库 所 有 数据 记录 的 应 用 软件 系统 , 要求 用 户 在 访 
问 数据 时 必须 通过 身份 和 权限 验证 ， 以 保证 系统 自身 的 安全 。 但 是 ， 有 些 数 据 库 将 原始 数 
据 以 明文 的 形式 存储 在 数据 库 中 ， 使 得 入 侵 者 有 机 会 从 系统 的 后 备 存 储 器 上 窃取 数据 或 算 
改 数据 。 因 此 ， 应 对 存储 的 数据 进行 加 密 保 护 ， 并 且 数 据 库 的 加 密 应 该 采取 独特 的 加 密 和 
密 钥 管理 方法 。 

(4) 通信 系统 和 通信 协议 的 安全 漏洞 

网 络 的 通信 线路 面 对 各 种 威胁 时 变 得 非常 脆弱 ， 非 法 用 户 对 物理 通信 线路 肆意 进行 破 
坏 、 搭 线 窍 听 ， 通 过 未 保护 的 外 部 线路 访问 系统 内 部 信息 等 。 另 外 ， 通 信 网 运行 机 制 所 基 
于 的 通信 协议 本 身 也 存在 一 定 的 缺陷 。 

在 网 络 信息 系统 中 ， 通 信 协 议 作为 一 种 规则 ， 使 得 不 了 解 的 双方 能 够 相互 配合 并 保证 
公平 性 ， 据 此 建立 、 维 护 和 解除 通信 联系 ， 实 现 不 同 机 型 的 互联 。 其 基本 特点 是 : 预先 建 
立 、 相 互 约定 、 无 歧义 、 完 备 性 。 

高 速 信息 网 在 技术 上 以 传统 电信 网 为 基础 ， 通 过 改革 传输 协议 发 展 而 来 ， 因 此 各 种 传 
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输 协议 之 间 的 不 一 致 性 也 大 大 影响 了 信息 的 安全 质量 。 例 如 互联 网 协议 TCP/TP， 由 于 使 用 
的 广泛 性 ， 使 得 TCP/IP 的 任何 安全 漏洞 都 会 产生 巨大 的 影响 。 而 TCP/IP 提出 之 初 ， 设 计 
者 将 主要 目标 定位 于 “网 络 互联 ” 没有 过 多 地 考虑 安全 问题 ， 例 如 它 传输 的 信息 采用 明文 
方式 。 因 此 ，TCP/IP 存在 天 生 的 缺陷 。 

(5) 网 络 软件 与 网 络 服务 的 安全 漏洞 

比较 常见 的 网 络 软件 与 网 络 服务 的 漏洞 有 : 

@ Finger 漏洞 

在 TCP/IP 协议 中 ，Finger 只 需 一 个 IP 地 址 便 可 以 提供 许多 关于 主机 的 信息 ， 例 如 谁 
正在 登录 、 登 录 时 间 、 登 录 地 点 等 。 对 于 一 个 训练 有 素 的 网 络 黑客 来 说 ，Finger 无 疑 是 其 
入 侵 目 标 主机 的 一 把 利器 。 

@ 匿名 FTP 

匿名 FTP 即 匿名 文件 传输 协议 。 系 统管 理 员 建 立 了 一 个 特殊 的 用 户 ID ， 名 为 
anonymous，Intermet 上 的 任何 人 在 任何 地 方 都 可 使 用 该 用 户 ID 登录 远程 计算 机 , 将 公共 文 
件 传输 到 用 户 的 本 地 计算 机 。 

在 大 型 网 络 环境 下 ， 远 程 登录 可 以 给 用 户 带 来 很 大 方便 ， 但 在 方便 的 背后 却 潜藏 着 很 
大 的 安全 隐患 。 在 网 络 上 运行 诸如 rlogin、rcprexec 等 远程 命令 时 ， 由 于 要 跨越 一 些 网 络 传 
输 口令 , 而 TCP/IP 对 所 传输 的 信息 又 不 进行 加 密 ， 所 以 网 络 黑客 只 要 在 所 攻击 的 目标 主机 
的 IP 数据 包 所 经 过 的 一 条 路 由 上 运行 “ 嗅 探 器 ”(Sniffer) 程序 ， 就 可 以 截取 目标 口令 
给 网 络 安全 和 信息 保密 带 来 很 大 威胁 。 

@ 电子 邮件 

内 部 网 用 户 进行 电子 邮件 发 送 和 接收 时 存在 被 黑客 跟踪 或 收 到 一 些 恶意 程序 〈 例 如 特 
洛 伊 木马 、 蜂 虫 等 )、 病 毒 程序 等 的 可 能 ， 由 于 许多 用 户 的 安全 意识 比较 淡薄 ， 对 一 些 来 历 
不 明 的 邮件 警惕 性 不 高 ， 这 就 给 了 入 侵 者 以 可 乘 之 机 ， 直 接 威 胁 到 系统 安全 。 

@ 密码 设置 漏洞 

服务 系统 登录 和 主机 登录 使 用 的 是 静态 口令 ， 口 令 在 一 定时 间 内 是 不 变 的 ， 且 在 数据 
库 中 有 存储 记录 ， 可 重复 使 用 。 这 样 ， 非 法 用 户 通 过 网 络 窃听 、 非 法 数据 库 访 问 、 穷 举 攻 
击 、 重 放 攻 击 等 手段 很 容易 得 到 这 种 静态 口令 ， 然 后 利用 口令 即 可 对 资源 进行 非法 访问 和 
越权 操作 。 


8.2.2 网 络 扫描 


1. 网 络 扫描 技术 


网 络 扫描 技术 是 一 种 基于 Intemet 远程 检测 目标 网 络 或 本 地 主机 安全 性 脆弱 点 的 技术 。 
扫描 采取 模拟 攻击 的 形式 ， 对 目标 可 能 存在 的 已 知 安全 漏洞 逐 项 进行 检查 。 目 标 可 以 是 工 
作 站 、 服 务 器 、 交 换 机 、 路 由 器 和 数据 库 应 用 等 。 通 过 扫描 ， 系 统管 理 员 能 够 发 现 所 维护 
的 Web 服务 器 的 各 种 TCP/IP 端口 的 分 配 、 开 放 的 服务 、Web 服务 的 软件 版 本 及 软件 呈现 
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在 Intemet 上 的 安全 漏洞 ， 并 根据 扫描 结果 提供 周密 、 可 靠 的 分 析 报 告 。 网 络 扫 描 技 术 与 防 
火 墙 、 安 全 监控 系统 互相 配合 就 能 够 为 网 络 提供 很 高 的 安全 性 。 


2. 网 络 扫描 的 一 般 步 又 


一 次 完整 的 网 络 安 全 扫描 ， 分 为 如 下 3 个 阶段 。 
(1) 第 一 阶段 : 发 现 目标 主机 或 网 络 。 
(2) 第 二 阶段 : 发 现 目标 后 进一步 搜集 目标 信息 ， 包 括 操作 系统 类 型 、 运 行 的 服务 以 
及 服务 软件 的 版 本 等 。 如 果 目 标 是 一 个 网 络 ， 还 可 以 进一步 发 现 该 网 络 的 拓扑 结构 、 路 由 
设备 以 及 各 主机 的 信息 。 
(3) 第 三 阶段 : 根据 搜集 到 的 信息 判断 或 者 进一步 测试 系统 是 否 存在 安全 漏洞 。 

3. 网 络 扫描 技术 的 分 类 

网 络 扫描 技术 主要 包括 ping 扫描 、 端 口 扫 描 以 及 漏洞 扫描 等 。 其 中 端口 扫描 技术 和 漏 
洞 扫描 技术 是 网 络 安全 扫描 技术 中 的 两 种 核心 技术 ， 并 被 广泛 运用 于 当前 较 成 熟 的 网 络 扫 
描 器 中 ， 例 如 著名 的 Nmap 和 Nessus。 

(1) ping 扫描 

ping 扫描 用 于 网 络 安全 扫描 的 第 一 阶段 ， 可 以 判断 出 系统 是 否 处 于 活动 状态 。ping 扫 
描 有 两 种 实现 方式 : 

@ ICMPping 扫描 

该 类 扫描 处 于 TCP/IP 协议 的 网 络 层 。 其 扫描 过 程 : 首先 向 被 扫描 的 网 络 中 的 所 有 他 
地 址 发 送 ICMP-REQUEST 数据 报 ， 如 果 从 某 瑟 地 址 返回 ICMP-REPLAY 数据 报 ， 则 表示 
该 他 地 址 的 主机 在 网 络 中 存在 并 处 于 活动 状态 。 

@ TCP ping 扫描 

该 类 扫描 处 于 TCP/IP 协议 的 传输 层 ， 主 要 利用 TCP 连接 的 3 次 握手 特性 和 TCP 数据 
头 中 的 标志 位 来 进行 ， 也 就 是 所 谓 的 半 开 扫描 。 

(2) 端口 扫描 技术 

端口 扫描 用 于 网 络 安全 扫描 的 第 二 阶段 , 通过 与 目标 系统 的 TCP/IP 端口 连接 , 可 以 查 
看 该 系统 是 否 处 于 监听 或 运行 的 状态 。 

一 个 端口 就 是 一 条 潜在 的 通信 通道 ， 也 就 可 能 成 为 一 条 入 侵 通 道 。 对 目标 计算 机 进行 
端口 扫描 ， 能 得 到 许多 有 用 的 信息 ， 如 系统 目前 向 外 界 提供 了 哪些 服务 ， 存 在 哪些 安全 漏 
洞 等 ， 从 而 对 症 下 药 ， 有 的 放 矢 地 予以 防治 。 

端口 扫描 的 原理 是 向 目标 主机 的 TCP/IP 服务 端口 发 送 探测 数据 包 , 并 记录 目标 主机 的 
响应 。 通 过 分 析 响 应 来 判断 服务 端口 是 打开 还 是 关闭 的 ， 就 可 以 得 知 端口 提供 的 服务 或 信 
息 。 端 口 扫描 也 可 以 通过 捕获 本 地 主机 或 服务 器 的 流入 /流出 人 P 数据 包 来 监视 本 地 主机 的 
运行 情况 ， 不 过 它 仅 能 对 接收 到 的 数据 进行 分 析 ， 帮 助 发 现 目标 主机 某 些 内 在 的 弱点 ， 而 
不 会 提供 进入 一 个 系统 的 详细 步骤 。 端 口 扫描 主要 有 经 典 的 全 连接 扫描 以 及 半 连 接 扫描 。 
此 外 ， 还 有 间接 扫描 和 秘密 扫描 等 。 
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全 连接 扫描 是 TCP 端口 扫描 的 基础 , 现 有 的 全 连接 扫描 有 TCP connect 扫描 和 TCP 反 
向 ident 扫描 等 。 其 中 ，TCP connect 扫描 的 实现 原理 如 下 所 述 : 

扫描 主机 通过 TCP/IP 协议 的 3 次 握手 与 目标 主机 的 指定 端口 建立 一 次 完整 的 连接 。 连 
接 由 系统 调用 connect 开始 。 如 果 端 口 开 放 ， 则 连接 建立 成 功 ; 否则 ， 返 回 -1， 表示 端口 关 
闭 。 建 立 连接 时 ， 如 响应 扫描 主机 的 SYN/ACK 连接 请 求 ， 则 表明 目标 端口 处 于 监听 〈 打 
开 ) 的 状态 ， 如果 目标 端口 处 于 关闭 状态 ， 则 目标 主机 会 向 扫描 主机 发 送 RST 响应 。 

@ 半 连 接 扫描 

若 端口 扫描 没有 完成 一 次 完整 的 TCP 连接 , 如 在 扫描 主机 和 目标 主机 的 一 指定 端口 建 
立 连 接 时 只 完成 了 前 两 次 握手 ， 在 第 三 步 时 ， 扫 描 主 机 中 断 了 本 次 连接 ， 使 连接 没有 完全 
建立 起 来 ， 这 样 的 端口 扫描 称 为 半 连 接 扫描 ， 也 称 为 间接 扫描 。 

(3) 漏洞 扫描 

网 络 安全 扫描 的 第 三 阶段 采用 的 漏洞 扫描 通常 是 在 端口 扫描 的 基础 上 ， 对 得 到 的 信息 
进行 相关 处 理 ， 进 而 检测 出 目标 系统 存在 的 安全 漏洞 。 

漏洞 扫描 主要 通过 下 面 的 两 种 方法 来 检查 目标 主机 是 否 存在 漏洞 : 在 端口 扫描 后 得 知 
目标 主机 开启 的 端口 以 及 端口 上 的 网 络 服务 ， 将 这 些 相关 信息 与 网 络 漏洞 扫描 系统 提供 的 
漏洞 库 进 行 匹 配 ， 查 看 是 否 有 满足 匹配 条 件 的 漏洞 存在 ;通过 模拟 黑客 的 攻击 手法 ， 对 目 
标 主机 系统 进行 攻击 性 的 安全 漏洞 扫描 ， 例 如 测试 脆弱 性 口令 等 。 若 模拟 攻击 成 功 ， 则 表 
明 目 标 主机 系统 存在 安全 漏洞 。 

网 络 安全 扫描 技术 是 新 兴 的 技术 ， 与 防火 墙 、 入 侵 检测 等 技术 相 比 ， 它 是 从 另 一 个 角 
度 来 解决 网 络 安全 上 的 问题 。 随 着 网 络 的 发 展 和 内 核 的 进一步 修改 ， 新 的 端口 扫描 技术 及 
对 入 侵 性 端口 扫描 的 新 防御 技术 还 会 不 断 诞 生 ， 到 目前 为 止 还 没有 一 种 完全 成 熟 、 高 效 的 
端口 扫描 防御 技术 ; 同时， 漏洞 扫描 面向 的 漏洞 包罗 万 象 ， 而 且 漏洞 的 数目 也 在 继续 增加 。 
就 目前 的 漏洞 扫描 技术 而 言 ， 自 动 化 的 漏洞 扫描 无 法 得 以 完全 实现 ， 而 且 新 的 难题 也 将 不 
断 涌现 ， 因 此 网 络 安 全 扫描 技术 仍 有 待 更 进一步 的 研究 和 完善 。 


8.2.3 网 络 监 听 


1. 网 络 监 听 的 概念 

网 络 监听 就 是 网 络 管理 员 利 用 一 些 工具 软件 监视 网 络 的 状态 和 数据 流动 情况 ， 以 便 发 
现 网 络 中 的 异常 情况 和 不 安全 因素 。 

网 络 监听 可 以 在 网 上 任何 一 个 位 置 进行 , 但 是 监听 效果 最 好 的 地 方 是 在 网 关 、 路 由 器 、 
防火 墙 一 类 的 设备 处 ， 通 常 由 网 络 管理 员 来 操作 。 使 用 最 方便 的 是 在 一 个 以 太 网 中 的 任何 
一 台 上 网 的 主机 上 。 

2. 网 络 监听 的 原理 


目前 很 流行 的 以 太 网 协议 的 工作 方式 是 : 将 要 发 送 的 数据 包 发 往 连接 在 一 起 的 所 有 主 
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机 ， 包 中 包含 着 应 该 接收 数据 包 主机 的 正确 地 址 ， 只 有 与 数据 包 中 目的 地 址 一 致 的 那 台 主 
机 才能 接收 。 但 是 ， 当 主机 工作 在 监听 模式 下 时 ， 无 论 数 据 包 中 的 目的 地 址 是 什么 ， 主 机 
都 将 接收 。 

在 因特网 上 有 很 多 使 用 以 太 网 协议 的 局 域 网 ， 许 多 主机 通过 电费、 集线器 和 连 在 一 起 。 
当 同一 网 络 中 的 西 台 主机 通信 时 , 源 主机 将 写 有 目的 主机 地 址 的 数据 包 直 接 发 往 目 的 主机 。 
但 这 种 数据 包 不 能 在 色 层 直接 发 送 ， 必 须 从 TCP/IP 协议 的 全 层 交 给 网 络 接口 ， 即 数据 链 
路 层 ， 另 外 ， 因 网 络 接口 无 法 识别 耳 地 址 ， 因 此 在 网 络 接口 数据 包 中 又 增加 了 一 部 分 首部 
数据 帧 信息 。 在 首部 数据 帧 中 有 两 个 域 ， 分 别 为 只 有 网 络 接口 才能 识别 的 源 主机 和 目的 主 
机 的 物理 地 址 。 传 输 数据 时 ， 将 包含 物理 地 址 的 数据 帧 从 网 络 接口 发 送 到 物理 线路 上 ， 最 
终 到 达 线路 上 的 每 一 台 主机 。 

当 数 字 信 号 到 达 一 台 主机 的 网 络 接口 时 ， 正 常情 况 下 网 络 接口 读 入 数据 帧 ,进行 检查 ， 
如 果 数据 帧 中 携带 的 物理 地 址 是 自己 的 或 者 是 广播 地 址 , 则 将 数据 帧 交 给 上 层 瑟 协议 软件 ， 
否则 就 将 该 由 丢弃 。 对 于 每 一 个 到 达 网 络 接口 的 数据 帧 ， 都 要 进行 这 个 过 程 。 然 而 ， 当 主 
机 工作 在 监听 模式 下 时 ， 所 有 的 数据 帧 都 将 被 交 给 上 层 协议 软件 处 理 。 而 且 ， 当 连接 在 同 
一 条 电线 或 集线器 上 的 主机 被 逻辑 地 分 为 儿 个 子 网 时 ， 如 果 一 台 主 机 处 于 监听 模式 下 ， 它 
还 能 接收 到 发 往 与 自己 不 在 同一 子 网 《使 用 了 不 同 的 掩 码 、IP 地 址 和 网 关 ) 的 主机 的 数据 
包 。 也 就 是 说 ， 在 同一 条 物理 信道 上 传输 的 所 有 信息 都 可 以 被 接收 到 。 

另外 ， 现 在 网 络 中 使 用 的 大 部 分 协议 都 是 很 早 以 前 设计 的 ， 许 多 协议 的 实现 都 是 基于 
一 种 非常 友好 的 、 通 信 双 方 充分 信任 的 基础 之 上 ， 许 多 信息 以 明文 发 送 。 因 此 ， 如 果 用 户 
的 账户 名 和 口令 等 信息 也 以 明文 的 方式 在 网 上 传输 ， 而 此 时 一 个 黑客 或 网 络 攻击 者 正在 进 
行 网 络 监听 ,只 要 具有 初步 的 网 络 和 TCP/IP 协议 知识 ， 便 能 轻易 地 从 监听 到 的 信息 中 提取 
出 感 兴趣 的 部 分 。 同 理 ， 正 确 地 使 用 网 络 鉴 听 技术 也 可 以 发 现 入 侵 并 对 入 侵 者 进行 追踪 定 
位 ， 在 对 网 络 犯罪 进行 调查 取证 时 获取 有 关 犯罪 行为 的 重要 信息 ， 成 为 打击 网 络 犯罪 的 有 
力 手段 。 

3， 网 络 监听 的 检测 

如 果 怀 疑 网 络 被 监听 ， 则 可 以 采用 如 下 方式 进行 检测 。 

51) 对 于 怀疑 运行 监听 程序 的 机 器 ， 用 正确 的 人 P 地 址 和 错误 的 物理 地 址 ping， 运 行 
监听 程序 的 机 器 会 有 响应 。 这 是 因为 正常 的 机 器 不 接收 错误 的 物理 地 址 ， 而 处 理 监 听 状态 
的 机 器 能 接收 ， 但 如 果 其 他 协议 楼 不 再 次 反 向 检查 ， 就 会 响应 。 

(2) 向 网 上 发 送 大 量 不 存在 的 物理 地 址 包 。 由 于 监听 程序 要 分 析 和 处 理 大 量 的 数据 包 ， 
会 占用 很 多 的 CPU 资源 ， 从 而 导致 性 能 下 降 , 这 样 通过 比较 发 包 前 后 该 机 器 的 性 能 即 可 淹 
断 ， 但 是 这 种 方法 难度 比较 大 。 

(3) 使 用 反 监 听 工 具 ， 例 如 antisniffer 等 进行 检测 。 

4 网 络 监听 的 防范 

网 络 监听 本 来 是 为 了 管理 网 络 ， 监 视 网 络 状态 和 数据 流动 情况 ， 但 由 于 它 能 有 效 地 堆 
获 网 上 的 信息 ， 所 以 也 成 为 黑客 常用 的 一 种 攻击 手段 ， 借 以 获得 用 其 他 方法 很 难 获得 的 信 
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息 。 当 黑客 成 功 登 录 一 台 网 络 上 的 主机 ， 并 取得 这 台 主 机 超级 用 户 的 权限 后 ， 为 了 能 够 夺 
取 网 络 中 其 他 主机 的 控制 权 ， 往 往 使 用 网 络 监听 这 种 简单 且 有 效 的 方法 。 网 络 监听 可 以 在 
网 上 的 任何 一 个 位 置 进行 ， 如 局 域 网 中 的 一 台 主 机 或 者 网 关 、 路 由 器 以 及 交换 设备 上 。 它 
可 以 将 网 络 接口 设置 为 监听 模式 ， 截 获 网 上 传输 的 信息 ; 但 是 网 络 监听 仅 能 用 于 物理 上 连 
接 于 同一 网 段 的 主机 ， 常 被 用 于 获取 用 户口 令 。 

网 络 监听 很 难 被 发 现 ， 因 为 运行 网 络 监听 的 主机 只 是 被 动 地 接收 在 局 域 局 上 传输 的 信 
息 ， 不 主动 与 其 他 主机 交换 信息 ， 也 没有 修改 在 网 上 传输 的 数据 包 。 对 网 络 监 听 的 防范 措 
施 如 下 。 

(1) 从 逻辑 或 物理 上 对 网 络 分 段 

网 络 分 段 通常 被 认为 是 控制 网 络 广播 风暴 的 一 种 基本 手段 ， 但 其 实 也 是 保证 网 络 安全 
的 一 项 措施 。 其 目的 是 将 非法 用 户 与 敏感 的 网 络 资源 相互 隔离 ， 从 而 防止 可 能 的 非法 监听 。 

(2) 以 交换 式 集线器 代替 共享 式 集线器 

对 局 域 网 的 中 心 交 换 机 进行 网 络 分 段 后 ， 局 域 网 监听 的 危险 仍然 存在 。 这 是 因为 网 络 
最 终 用 户 的 接 入 往往 是 通过 分 支 集 线 器 而 不 是 中 心 交 换 机 ， 而 使 用 最 广泛 的 分 支 集线器 通 
常 是 共享 式 集线器 。 这 样 ， 当 用 户 与 主机 进行 数据 通信 时 ， 两 台 机 器 之 间 的 数据 包 〈 称 为 
单 播 包 ) 还 是 会 被 同一 台 集线器 上 的 其 他 用 户 监 听 到 。 

因此 ， 应 该 以 交换 式 集线器 代替 共享 式 集线器 ， 使 单 播 包 仅 在 两 个 节点 之 间 传 送 ， 从 
而 防止 非法 监听 。 当 然 ， 交 换 式 集线器 只 能 控制 单 播 包 而 无 法 控制 广播 包 和 多 播 包 。 

(3) 使 用 加 密 技术 

数据 经 过 加 密 后 ， 通 过 监听 仍然 可 以 得 到 传送 的 信息 ， 但 显示 的 是 乱码 。 使 用 加 密 技 
术 的 缺点 是 影响 数据 传输 速度 以 及 使 用 一 个 弱 加 密 术 比较 容易 被 攻破 ， 系 统管 理 员 和 用 户 
需要 在 网 络 速度 和 安全 性 上 进行 折 中 。 

(4) 划分 VLAN 

运用 虚拟 局 域 网 VLAN 技术 ， 将 以 太 网 通信 变 为 点 到 点 通信 ， 可 以 防止 大 部 分 基于 网 
络 监听 的 入 侵 。 网 络 监听 技术 作为 一 种 工具 ， 总 是 扮演 着 正 、 反 两 方面 的 角色 。 对 于 入 侵 
者 来 说 ， 最 喜欢 的 莫 过 于 用 户 的 口令 ,通过 网 络 监听 可 以 很 容易 地 获得 这 些 关 键 信 息 。 而 
对 于 入 侵 检测 和 追踪 者 来 说 ， 网 络 监听 技术 又 能 够 在 与 入 侵 者 的 斗争 中 发 挥 重要 的 作用 。 
鉴于 目前 的 网 络 安全 现状 ， 我 们 应 该 进一步 挖掘 网 络 监听 技术 的 细节 ， 从 技术 基础 上 掌握 
先 机 ， 才 能 在 与 入 侵 者 的 斗争 中 取得 胜利 。 


8.2.4 网 络 唤 探 器 Sniffer 


1. 什么 是 Sniffer 


网 络 嗅 探 器 Sniffer 是 利用 计算 机 的 网 络 接口 收集 和 分 析 网 络 数据 的 工具 。 嗅 探 器 最 早 
是 为 网 络 管理 人 员 配 备 的 工具 ， 有 了 它 网 络 管理 员 可 以 随时 掌握 网 络 的 实际 情况 ， 查 找 网 
络 漏洞 和 检测 网 络 性 能 。 例 如 ， 当 网 络 性 能 急剧 下 降 时 ， 可 以 通过 嗅 探 器 分 析 网 络 流量 ， 
找 出 网 络 阻塞 的 来 源 。 因 此 ， 网 络 嗅 探 器 也 可 以 理解 为 一 个 安装 在 计算 机 上 的 监听 设备 ， 
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可 以 用 来 监听 计算 机 在 网 络 上 所 产生 的 众多 信息 ， 即 可 以 监听 计算 机 程序 在 网 络 上 发 送 和 
接收 到 的 数据 。 
2. Sniffer 的 工作 原理 


Sniffer 通常 是 软 硬 件 的 结合 。 数 据 在 网 络 上 是 以 很 小 的 称 为 帧 的 单位 进行 传输 ， 帧 由 
儿 部 分 组 成 ， 不 同 的 部 分 执行 不 同 的 功能 。 帧 通过 特定 的 称 为 网 络 驱动 程序 的 软件 进行 成 
型 ， 然 后 通过 网 卡 发 送 到 网 线 上 ， 进 而 到 达 其 目标 主机 ， 在 目标 主机 端 执 行 相反 的 流程 。 
接收 端 主机 的 以 太 网 卡 捕获 到 这 些 帧 ， 并 通知 操作 系统 帧 的 到 达 ， 然 后 对 其 进行 存储 。 就 
是 在 这 个 传输 和 接收 的 过 程 中 ， 嗅 探 器 会 造成 安全 方面 的 问题 。 

在 局 域 网 中 与 其 他 计算 机 进行 数据 交换 时 ， 发 送 的 数据 包 将 被 发 往 所 有 联 在 一 起 的 主 
机 ， 即 广播 。 由 于 报头 中 包含 目标 主机 的 正确 地 址 ， 因 此 只 有 与 数据 包 中 目标 地 址 一 致 的 
那 台 主 机 才 会 接收 数据 包 ， 其 他 的 机 器 都 会 将 包 丢 奔 。 但 是 ， 当 主机 工作 在 监听 模式 下 时 ， 
无 论 接收 到 的 数据 包 中 目标 地 址 是 什么 ， 主 机 都 将 其 接收 下 来 ， 然 后 对 数据 包 进 行 分 析 ， 
就 得 到 了 局 域 网 中 通信 的 数据 。 

3. Sniffer 的 功能 


(1) 专家 分 析 系 统 

专家 分 析 系 统 Sniffer 能 够 监视 并 捕获 所 有 网 络 上 的 信息 数据 包 ， 同 时 建立 一 个 特有 网 
络 环境 下 的 目标 知识 库 。 经 过 将 问题 分 离 、 分 析 和 归 类 ，Sniffer 可 实时 、 自 动 地 发 出 警告 ， 
解释 问题 的 性 质 并 提出 解决 方案 。Sniffer 与 其 他 网 络 协议 分 析 仪 最 大 的 差别 在 于 其 人 工 智 
能 专家 系统 ， 有 了 Sniffer 的 专家 系统 ， 用 户 无 须知 道 那些 数据 包 构 成 的 网 络 问题 ， 也 不 必 
熟悉 网 络 协议 ， 更 不 用 去 了 解 这 些 数 据 包 的 内 容 ， 便 能 轻松 解决 问题 。 此 外 ，Sniffer 还 提 
供 了 专家 配制 功能 ， 用 户 可 以 自己 设 定 专家 系统 判断 故障 发 生 的 触发 条 件 。Sniffer 能 够 自 
动 实 时 监视 网 络 、 捕 捉 数据、 识别 网 络 配 置 ， 自 动 发 现 网 络 故障 并 进行 报警 ， 它 能 指出 网 
络 故障 发 生 的 位 置 出 现在 OSI 的 第 儿 层 、 网 络 故障 的 性 质 、 产 生 故 障 的 可 能 原因 以 及 为 解 
决 故 障 建议 采取 的 行动 。 

(2) 实时 的 监控 统计 和 报警 

Sniffer 的 实时 监控 统计 和 报警 功能 可 根据 用 户 习惯 以 实时 数据 或 图 表 方 式 显示 统计 结 
果 。 统 计 内 容 包 括 如 下 几 个 方面 : 

@ 网 络 统计 。 例 如 ， 当 前 的 平均 网 络 利用 率 、 当 前 的 帧 数 及 字 节 数 、 总 站 数 和 激活 的 
站 数 、 协 议 类 型 、 当 前 和 总 的 平均 帧 长 等 。 

@ 协议 统计 。 例 如 ， 协 议 的 网 络 利 用 率 、 协 议 个 数 、 协 议 的 字 节 数 以 及 每 种 协议 中 各 
种 不 同类 型 的 帧 统计 等 。 

@ 差错 统计 。 例 如 ， 错 误 的 CRC 校 验 数 、 发 生 的 碰撞 数 、 错 误 帧 数 等 。 

@ 站 统计 。 例 如 ， 接 收 和 发 送 的 帧 数 、 开 始 时 间 、 停 止 时 间 、 消 耗 时 间 、 站 状态 等 。 

@@ 帧 长 统计 。 例 如 ， 某 一 帧 长 的 帧 所 占 百 分 比 、 某 一 帧 长 的 帧 数 等 。 此 外 ， 当 网 络 的 
某 些 指标 超过 规定 的 极限 时 ，Sniffer 可 自动 显示 或 采用 有 声 形式 的 报警 。Sniffer 还 可 根据 
网 络 管理 者 的 要 求 ， 自 动 将 统计 结果 生成 多 种 格式 的 统计 报告 ， 并 可 存盘 或 打印 输出 。 
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(3) 报表 生成 

Sniffer 报表 生成 器 允许 用 户 创建 图 形 报告 。 该 报告 建立 在 Sniffer 所 收集 的 网 络 监控 数 
据 基 础 之 上 ， 一 些 经 预先 存储 的 、 易 于 生成 的 报告 可 以 提供 快速 显示 受 监测 网 段 的 全 部 统 
计数 据 以 及 网 络 层 主机 、 算 阵 和 协议 分 配 情况 。 此 外 ， 还 可 提供 针对 用 户 网 络 通 信 趋 势 的 
重要 信息 ， 例 如 用 户 可 评估 哪 种 资源 、 哪 种 协议 占用 了 大 部 分 的 带宽 。 这 些 数据 不 仅 能 帮 
助 网 络 管理 者 预测 额外 的 带宽 需求 ， 还 可 以 帮助 用 户 分 配 网 络 资源 。Sniffer 报表 生成 器 可 
以 在 网 络 性 能 下 降 发 展 成 为 严重 的 网 络 故 障 之 前 ， 协 助 用 户 预 测 并 更 正 这 些 问 题 。 

(4) 增强 功能 

@ 故障 定位 及 排除 

Sniffer 涉及 到 系统 、 设 备 、 应 用 等 多 个 层面 ， 因 此 将 网 络 性 能 报告 或 网 络 故障 准确 定 
位 在 涉及 到 〈 线 路 、 设 备 、 服 务 器 、 操 作 系统 、 电 子 邮 件 ) 的 具体 位 置 ， 是 Sniffer 提供 的 
基本 功能 。 

@) 预防 问题 

通过 在 广域网 上 对 网 络 设备 和 网 络 流量 实施 监控 和 分 析 ，Sniffer 能 够 有 效 预防 网 络 故 
障 的 发 生 ， 即 使 在 系统 出 现 性 能 拌 动 时 ，Sniffer 也 会 及 时 发 现 ， 同 时 建议 系统 管理 员 采 用 
正确 的 处 理 方法 。 

@ 优化 性 能 

通过 对 线路 和 其 他 系统 进行 透视 化 的 管理 ， 用 户 可 利用 Sniffer 管理 系统 提供 的 特殊 功 
能 对 系统 性 能 进行 优化 。 

@ 提供 整体 网 络 运行 的 健康 分 析 及 发 展 趋 势 分 析 

Sniffer 可 对 网 络 系统 的 整体 运行 情况 作出 长 期 的 健康 分 析 与 发 展 趋势 报告 ， 分 析 系 统 
目前 的 使 用 情况 ， 以 及 对 新 系统 的 规划 作出 精确 的 报告 。 

4. Sniffer 的 分 类 


Sniffer 分 为 软件 和 硬件 两 种 .软件 的 Sniffer 有 Sniffer Pro .Network Monitor、 PacketBone 
等 ， 其 优点 是 易于 安装 部 署 ， 易 于 学 习 使 用 ， 同 时 也 易于 交流 ; 缺点 是 无 法 抓 取 网 络 上 所 
有 的 传输 ， 某 些 情况 下 也 就 无 法 真正 了 解 网 络 的 故障 和 运行 情况 。 硬 件 的 Sniffer 通常 称 为 
协议 分 析 仪 ， 一 般 都 是 商业 性 的 ， 价 格 也 比较 昂贵 ， 但 会 具备 支持 各 类 扩展 的 链 路 捕获 能 
力 以 及 高 性 能 的 数据 实时 捕获 分 析 功 能 。 

5. Sniffer 的 扩展 应 用 


(1) 专用 领域 的 Sniffer 
Sniffer 被 广泛 应 用 于 各 种 专业 领域 , 例如 金融 信息 交换 协议 FIX、 组 播 协议 MultiCast、 
第 三 代 移动 通信 技术 3G 的 分 析 系 统 。 它 可 以 解析 这 些 专用 协议 数据 ,获得 完整 的 解码 分 析 。 
(2) 长 期 存储 的 Sniffer 应 用 
由 于 现代 网 络 数据 量 惊 人 ， 带 宽 越 来 越 大 ， 采 用 传统 方式 的 Sniffer 产品 已 很 难 适应 这 
类 环境 , 因此 诞生 了 伴随 有 大 量 硬盘 存储 空间 的 长 期 记录 设备 , 例如 nGenius Infinistream 等 。 


多 计算 机 网 络 安全 技术 与 应 用 


8.3 几 种 商用 入 侵 检 测 系统 


目前 ， 网 络 安全 的 解决 主要 采取 的 技术 手段 有 防火 墙 、 安 全 路 由 器 等 ， 它 们 对 于 防止 
系统 非法 入 侵 都 有 一 定 的 效果 。 但 是 它们 只 是 起 着 防御 作用 ， 而 计算 机 系统 的 安全 总 是 防 
不 胜 防 的， 一 旦 它们 被 攻破 ， 则 整个 系统 将 会 面临 瘫痪 的 危险 。 因 此 ， 仪 仅 具 有 这 些 手段 
还 不 足以 对 付 非 法 攻击 。 为 改变 这 种 被 动 局 面 ， 一 个 安全 的 网 络 系统 应 该 既 要 有 防火 墙 等 
防御 手段 ， 还 需要 有 能 够 对 网 络 安全 进行 实时 监控 、 攻 击 与 反攻 击 的 网 络 入 侵 检测 系统 。 
下 面 将 介绍 儿 种 商用 的 入 侵 检 测 系统 。 


8.3.1 ISS BlackICE 入 侵 检 测 系 统 


1. BlackICE 简介 

BlackICE 软件 是 由 ISS 安全 公司 出 品 的 一 款 著 名 的 入 侵 检 测 系 统 。 该 软件 在 1999 年 曾 
获得 了 PC Magazine 的 技术 卓越 大 奖 。 专 家 对 它 的 评语 是 :“ 对 于 没有 防火 墙 的 家 庭 用 户 来 
说 ，BlackICE 是 一 道 不 可 缺少 的 防线 ， 而 对 于 企业 网 络 ， 它 又 增加 了 一 层 保 护 措施 ， 但 它 
并 不 是 要 取代 防火 墙 ， 而 是 阻止 企图 穿 过 防火 墙 的 入 侵 者 。” 

BlackICE 集成 有 非常 强大 的 检测 和 分 析 引 擎 ， 可 以 识别 200 多 种 入 侵 技巧 ， 给 予 用 户 
全 面 的 网 络 检测 以 及 系统 的 保护 。 该 软件 还 具有 灵敏 度 及 准确 率 高 、 稳 定性 出 色 、 系 统 资 
源 占 用 率 极 少 的 特点 ， 而 且 它 还 可 以 将 那些 试图 入 侵 的 黑客 的 NetBIOS (WINS) 名 、DNS 
名 或 是 他 目前 所 使 用 的 他 地 址 记录 下 来 ， 以 便 用 户 采 取 进 一 步行 动 。 

近期 发 布 的 BlackICE PC Protection 3.6 拥有 强大 的 检测 、 分 析 以 及 防护 功能 ， 而 且 很 
容易 使 用 ， 可 以 侦察 出 谁 在 扫描 系统 的 端口 ， 在 非法 攻击 者 攻击 用 户 系统 之 前 拦截 ， 保 护 
系统 不 受 侵害 ， 并 收集 入 侵 攻 击 者 的 卫 地 址 、 网络 地 址 、 硬件 地 址 , 提供 日 志 供用 户 查 看 ， 
同时 还 增加 了 如 下 一 些 新 功能 : 

(1) 在 设置 中 增加 了 应 用 程序 与 通信 控制 的 功能 

(2) 可 控制 应 用 程序 是 否 在 计算 机 上 执行 。 

(3) 可 控制 哪些 应 用 程序 能 与 Intemet 通信 。 

(4) 扫描 系统 ， 检 测 所 有 的 系统 设置 改变 。 

(5) 可 在 事件 列表 中 记录 新 软件 与 新 通信 事件 的 发 生 情 况 。 

(6) 可 以 有 效 预防 DDoS 攻击 ， 是 服务 器 的 首选 软件 防火 墙 。 

2. BlackICE 的 工作 机 制 


BlackICE 安装 后 ， 以 后 台 服 务 的 方式 运行 ， 前 端 有 一 个 控制 台 可 以 进行 各 种 报警 和 修 
改 程序 的 配置 ， 界 面 很 简洁 。BlackICE 软件 最 具 特 色 的 地 方 是 内 置 了 应 用 层 的 入 侵 检 测 功 
能 ， 并 且 能 够 与 自身 的 防火 墙 进行 联动 ， 可 以 自动 阻 断 各 种 已 知 的 网 络 攻击 行为 。 
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BlackICE 具有 强大 的 网 络 攻击 检测 能 力 ， 可 以 说 大 部 分 的 非法 入 侵 都 会 被 它 发 现 ， 并 
采取 : 严重 、 和 危险 、 可 疑 和 报告 这 4 种 级 别 报警 〈 分 别 用 红 、 橙 黄 、 黄 和 绿 4 种 颜色 标识 ， 
和 危险 程度 依次 降低 )。 同 样 ，BlackICE 对 外 来 访问 也 设 有 4 个 安全 级 别 ， 分 别 是 : 信任 、 
谨防 、 和 警惕 和 可 疑 。 


3.BlackICE 的 特点 


BlackICE 最 显著 的 特点 是 执行 起 来 性 能 非常 好 ， 即 使 当 网 络 负载 很 饱和 时 仍然 能 够 检 
测 出 入 侵 攻击 。 但 是 ， 由 于 使 用 的 是 智能 防御 系统 ， 用 户 设置 与 管理 的 功能 较 少 ， 在 安装 
BlackICE 时 ， 管 理 接口 相当 麻烦 ， 配 置 选 择 也 不 是 很 多 。 同 时 ， 由 于 不 具备 应 用 程序 安全 
规则 等 安全 防护 手段 ，BlackICE 的 报告 机 制 还 不 太 令 人 满意 ， 基 于 Web 的 工具 难以 使 用 ， 
通信 未 加 密 就 通过 HTTP 协议 在 线路 上 进行 传输 ， 非 常 不 安全 。 


8.3.2 Dragon 入 侵 检 测 系统 


1. Dragon 简介 


Dragon 入侵 检测 系统 专 为 各 种 企业 量 身 度 造 具有 各 种 特殊 要 求 的 检测 环境 一 网 络 安 
全 实时 监控 、 主 机 组 实时 监控 、 客 户 /服务 器 管理 及 各 种 事件 管理 ， 同 时 兼 具 强大 且 开 放 的 
签名 格式 功能 、 先 进 的 安全 监控 功能 以 及 超 强 的 集成 管理 工具 等 优越 功能 。 在 监测 系统 日 
新 月 异 的 今天 ，Dragon 入 侵 检测 系统 的 这 些 强 大 功能 为 企业 提供 实际 可 靠 的 安全 保护 ， 使 
之 免 受 各 种 恶意 攻击 ， 维 护 企 业 网 络 的 正常 安全 运行 。Dragon 入 侵 检 测 系统 具有 一 套 完整 
的 入 侵 检 测 方案 ， 与 众 不 同 的 是 ，Dragon 入 侵 检测 系统 不 但 可 以 对 企业 内 网 和 外 网 进行 检 
测 ， 而 且 还 可 以 对 企业 的 外 部 Intemet 网 站 进行 检测 ， 其 保护 的 是 整个 网 络 架构 。 通 过 网 络 
探测 器 就 可 以 进行 基于 网 络 的 检测 ， 而 通过 主机 探测 器 则 可 实现 对 主机 的 检测 。 此 外 ， 通 
过 企业 管理 服务 器 实现 集中 式 管 理 监 控 、 分 析 ， 生 成 报表 ， 企 业 管理 服务 器 还 包括 高 级 策 
略 管理 功能 。 

Dragon 入 侵 检测 系统 由 凯 创 公司 生产 的 多 种 安全 产品 集成 ， 采 用 了 多 种 检测 技术 ， 包 
括 模式 匹配 、 协 议 解 码 、 异 常 检测 ， 其 安全 检测 能 力 是 业界 领先 的 。 它 可 以 监控 网 络 、 服 
务 器 和 防火 墙 的 行为 ， 记 录 非 正常 和 恶意 操作 ， 并 提供 丰富 的 特征 库 。 它 的 特征 检测 库 是 
业界 最 大 的 ， 在 深度 、 广 度 、 数 量 上 动态 增加 特征 库 ， 支 持 防火 墙 、Web 服务 器 和 其 他 应 
用 。 特 征 库 每 周 自 动 更 新 发 布 ， 如 果 新 的 威胁 出 现时 ， 可 以 立即 检测 出 新 的 攻击 ， 从 而 改 
善 整个 企业 网 络 的 安全 性 。 
在 易 用 性 方面 ，Dragon 入 侵 检 测 系统 提供 了 基于 Web 的 集中 式 全 企业 网 络 管理 功能 
并 可 以 通过 电子 邮件 、SNMP 或 SYSLOG 信息 定制 报警 ， 及 时 地 向 用 户 反映 网 络 状况 。 值 
得 注意 的 是 ， 其 主机 探测 器 是 模块 化 的 ， 用 户 可 根据 实际 需要 对 其 进行 扩展 ， 不 但 方便 、 
灵活 ， 而 且 也 节省 了 资金 投入 。 

对 于 需要 一 款 完整 的 入 侵 检测 系统 解决 方案 的 企业 客户 而 言 , Enterasys 公司 的 Dragon 
入 侵 检 测 系统 提供 了 基于 主机 和 基于 网 络 的 入 侵 检测 系统 ， 也 提供 了 一 套 完整 的 行政 和 事 
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件 管理 工具 ， 可 以 满足 最 大 型 企业 的 需要 ， 也 可 以 让 最 小 的 企业 实现 安全 管理 。 可 对 网 络 、 
服务 器 和 防火 墙 行为 进行 监控 检测 ， 以 发 现 可 疑 和 恶意 的 行为 迹象 ， 并 提供 综合 功能 ， 改 
善 企业 网 络 的 安全 性 。 

2. Dragon 的 工作 机 制 


Dragon 入 侵 检 测 系统 包括 网 络 传感器 、 主 机 传感器 、 策 略 管理 器 和 安全 信息 管理 器 4 
部 分 。 各 部 分 的 工作 原理 如 下 : 

(1) Dragon 网 络 传感器 使 用 了 一 个 新 的 专利 分 析 运 算法 则 ， 提 高 了 检测 的 性 能 。 

(2) Dragon 主机 传感器 通过 一 个 灵活 的 模块 化 架构 ， 为 大 多 数 操作 系统 提供 了 基于 
主机 的 入 侵 检测 。 

(3) Dragon 策略 管理 器 可 对 各 种 规模 的 Dragon 应 用 进行 集中 的 企业 级 管理 ， 每 日 自 
动 更 新 签名 ， 确 保 客 户 应 用 最 新 的 探测 性 能 。 

(4) Dragon 安全 信息 管理 器 通过 一 个 集成 的 监测 、 分 析 和 报告 系统 ， 集 中 收集 所 有 
安全 信息 ， 并 在 高 速 数据 库 中 对 整个 企业 的 各 种 事件 进行 规格 化 ， 把 它们 同 在 网 络 和 主机 
以 及 诸如 弱点 扫描 仪 、 防 火 墙 和 网 络 服务 器 等 其 他 设备 中 所 探测 到 的 情况 进行 关联 分 析 。 

3. Dragon 的 特点 


Enterasys 公司 的 Dragon 入 侵 检测 系统 产品 的 特点 如 下 : 

(1) Dragon 入 侵 检测 系统 可 以 分 为 Dragon Sensor、Dragon Squire 和 Dragon Server 三 
部 分 。Dragon Sensor 对 网 络 分 组 进行 监控 ， 通 常 被 部 署 在 防火 墙 系统 之 前 ， 或 是 位 于 网 络 
的 关键 位 置 。Dragon Squire 基于 主机 ， 实 时 监控 重要 的 系统 文件 ， 能 够 最 大 限度 地 降低 系 
统 对 服务 器 性 能 的 影响 。Dragon Server 则 为 Dragon Sensor 和 Dragon Squire 的 安全 管理 提 
供 方便 。Dragon 入 侵 检 测 系统 适合 部 署 在 各 种 规模 的 网 络 环境 中 。 

(2) Dragon 通过 命令 行 方式 来 执行 ， 只 有 非常 简单 的 基于 Web 的 报告 工具 。 指 令 集 
的 简单 性 也 允许 Dragon 的 用 户 很 方便 地 定制 和 产生 他 们 自己 的 签名 。Dragon 能 够 处 理 碎 
片 重组 。 它 不 仅 能 够 无 错 地 重组 碎片 ， 而 且 即使 当 网 络 占用 率 达 70% 一 80% 时 仍然 性 能 不 
减 。 如 果 想 要 一 个 简单 而 又 强大 的 入 侵 检测 功能 ， 并 且 要 求 易于 增加 或 修改 签名 的 话 ， 那 
么 Dragon 是 很 好 的 选择 。 

(3) Dragon 在 易于 使 用 和 事件 可 管理 性 方面 完全 失败 。Dragon 没有 提供 中 央 控 制 台 
或 任何 类 型 的 图 形 化 用 户 界面 GUI 管理 工具 , 其 产生 的 数据 兄长 而 又 复杂 , 很 不 容易 看 懂 。 
Dragon 的 成 熟 还 需要 一 个 过 程 。 


8.3.3 ”ISS RealSecure 入 侵 检 测 系 统 


1. RealSecure 简介 


ISS 的 实时 入 侵 监 控 器 RealSecure 是 业界 第 一 个 集成 了 基于 网 络 和 基于 主机 的 入 侵 检 
测 和 响应 系统 ， 可 以 实时 监控 访问 网 络 和 系统 的 数据 包 ， 分 析 可 颖 行为， 警告 安全 管理 员 
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或 中 断 攻 击 连接 ， 保 护 网 络 和 系统 不 受 攻击 ， 生 成 详细 报表 ; 安全 管理 人 员 可 以 自动 地 监 
控 网 络 中 的 数据 流 、 主 机 的 日 志 等 ， 对 可 疑 的 事件 给 予 检测 和 响应 ， 在 内 联网 和 外 联网 的 
主机 和 网 络 遭 受 破坏 之 前 阻止 非法 的 入 侵 行为 。RealSecure 通过 以 下 部 件 支持 开放 的 网 络 
环境 : 
(1) 检测 和 标记 主机 和 网 络 中 的 可 疑 行 为 ， 并 将 这 种 信息 反映 给 唯一 的 控制 台 应 用 
软件 。 
(2) 将 紧急 威胁 和 低级 、 中 级 配置 错误 区 分 开 ， 从 而 最 大 限度 发 挥 管理 员 的 作用 。 
(3) 适应 动态 网 络 需求 ，RealSecure 引擎 和 代理 能 分 别 放 在 网 络 的 多 个 网 段 中 。 
(4) 可 以 把 入 侵 检测 系统 技术 扩展 到 交换 的 网 络 环境 中 。 
RealSecure 有 4 种 独特 的 数据 资源 来 保护 服务 器 免 受 攻击 : 应 用 日 志文 件 、 操 作 系统 
日 志文 件 、 关 键 系统 转换 文件 和 对 可 疑 连接 的 监测 。 这 些 数 据 资源 使 RealSecure 代理 能 判 
断 攻 击 者 是 否 成 功 ， 检 测 用 户 行为 ， 提 供 详细 的 、 可 供 向 法 院 起 诉 的 信息 。 基 于 这 些 发 现 ， 
RealSecure 代理 通过 中 止 用 户 进 程 和 挂 起 用 户 账号 来 阻止 更 深入 的 攻击 。 此 外 ， 它 还 可 以 
送出 实时 警报 、 日 志文 件 、 发 出 捕获 信息 和 E-mail 或 执行 用 户 定义 的 行为 。 
所 有 RealSecure 引擎 和 RealSecure 代理 都 要 把 报告 发 送 给 RealSecure 管理 器 并 由 管理 
器 进行 配置 。 这 个 控制 台 应 用 监控 任何 一 个 RealSecure 引擎 和 代理 的 组 合 状 态 ， 不 管 它们 
运行 在 UNIX 上 或 Windows NT 上 。 这 样 的 结果 是 企业 得 到 了 广泛 的 入 侵 检测 和 响应 ， 易 
于 配置 并 可 从 一 个 站 点 进行 管理 。RealSecure 管理 器 还 可 作为 许多 网 络 和 系统 管理 环境 的 
嵌入 模块 。 
2. RealSecure 的 工作 机 制 


RealSecure 是 一 种 实时 监控 软件 , 其 中 包含 RealSecure 网 络 引擎 (基于 网 络 的 监控 器 )、 
RealSecure 系统 代理 (基于 主机 的 监控 器 ) 和 RealSecure 管理 器 3 个 部 件 。 各 部 件 的 工作 
原理 如 下 : 

(1) 网 络 引擎 

RealSecure 网 络 引擎 运行 在 特定 的 工作 站 上 ， 提 供 网 络 入 侵 检测 和 响应 。 每 个 网 络 引 
人 擎 通过 对 流动 在 指定 网 段 上 的 信息 包 进 行 跟踪 分 析 来 识别 攻击 ， 收 集 证 据 来 确定 是 否 有 非 
法 攻击 正在 发 生 。 当 网 络 引擎 侦 测 到 非法 行为 ， 它 将 立即 作出 响应 ， 切 断 非法 连接 ， 发 送 
电子 邮件 或 者 寻呼机 信号 ， 记 录 事 件 ， 重 新 调整 防火 墙 ， 或 者 采取 其 他 用 户 自 定义 的 行动 。 
另外 ， 网 络 引 擎 还 可 以 把 警告 发 送 给 管理 器 或 第 三 方 管理 控制 台 ， 以 便 以 后 进行 进一步 的 
管理 和 分 析 。 

(2) 系统 代理 程序 

RealSecure 系统 代理 是 基于 主机 的 、 对 RealSecure 网 络 引擎 起 补充 作用 的 构件 ， 它 通 
过 分 析 主 机 日 志 来 识别 并 确认 攻击 是 否 成 功 。 每 个 RealSecure 系统 代理 安装 在 一 台 工 作 站 
或 主机 上 ， 全 面 检查 系统 日 志 ， 分 析 是 否 有 网 络 和 安全 破坏 事件 发 生 。 当 发 现 安全 破坏 事 
件 时 ， 为 了 防止 遭 到 进一步 的 攻击 ，RealSecure 系统 代理 会 及 时 终止 用 户 进程 和 停止 用 户 
账号 ， 此 外 ， 它 还 能 够 发 送 警报 、 记 录 时 间 、 关 闭 陷阱 、 发 送 E-mail 或 执行 用 户 预 定义 的 
行动 。 
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(3) 管理 器 

所 有 的 RealSecure 网 络 引擎 和 系统 代理 都 要 把 报告 发 送 给 RealSecure 管理 器 ， 并 由 管 
理 器 来 对 它们 进行 配置 。 管 理 器 监控 任何 来 自 Windows NT 和 UNIX 网 络 引擎 和 系统 代理 
的 报告 以 及 它们 的 状态 。 这 样 管理 非常 方便 ， 从 一 个 地 方 就 能 很 容易 对 它们 进行 集中 的 配 
置 和 管理 。RealSecure 管理 器 随 网 络 引擎 和 系统 代理 一 同 发 布 ， 而 且 它 可 作为 插件 应 用 于 
很 多 不 同 的 网 络 和 系统 管理 环境 。 

3. RealSecure 的 特点 


RealSecure 作为 目前 最 受 业界 关注 的 入 侵 检 测 系统 ， 具 有 如 下 特点 。 

(1) 安全 的 监控 系统 : 管理 控制 器 、 网 络 引擎 和 系统 代理 之 间 ， 通 过 密 钥 进 行 加 密 通 
信和 身份 识别 。 网 络 引 擎 在 秘密 监控 方式 下 不 会 受到 攻击 威胁 ， 实 现 自身 的 安全 。 

(2) 最 小 化 网 络 攻击 漏洞 ， 在 危险 发 生 之 前 阻止 攻击 : 对 网 络 攻击 实时 响应 ， 包 括 切 
断 连接 和 重新 配置 防火 墙 。 

(3) 能 够 被 用 来 收集 起 诉 的 证 据 : 记录 攻击 事件 ， 以 便于 回放 。 

(4) 业界 最 广泛 的 攻击 模式 识别 : 管理 员 不 需要 是 安全 专家 。 

(5) 内 置 的 报告 生成 : 管理 员 会 快速 收 到 有 结构 的 网 络 事件 的 归纳 总 结 。 

(6) 支持 多 种 网 络 接口 ， 以 太 网 、 快 速 以 太 网 、 令 牌 环 网 和 FDDI。 

(7) 运行 在 Windows NT 和 UNIX 平台 : 使 用 RealSecure 无 须 购买 特殊 的 硬件 ， 它 可 
运行 在 已 有 的 Windows NT 和 UNIX 主 机 上 ,并 具有 从 一 个 主 控 台 监控 UNIX 和 Windows NT 
引擎 的 能 力 。 

(8) 监控 Windows 的 网 络 和 TCP/IP 传输 : 微软 的 Windows 网 络 环境 支持 RealSecure 
监视 违反 内 部 安全 策略 的 事件 ， 包 括 访问 重要 服务 器 上 的 口令 文件 或 未 授权 读 取 被 保护 的 

(9) 对 网 络 传输 流 无 影响 : RealSecure 是 完全 没有 妨碍 的 ， 不 会 对 网 络 传输 造成 任何 
延迟 。 这 允许 企业 扩大 网 络 安全 监控 范围 而 不 会 降低 网 络 速度 。 

RealSecure 最 大 的 不 足 在 于 它 无 法 重组 破碎 的 数据 包 ， 这 是 一 个 较 严 重 的 缺陷 。 此 外 ， 
它 还 缺乏 对 管理 器 事件 窗口 中 全 部 事件 的 清除 功能 。 但 综合 来 看 ， 在 检测 入 侵 行 为 并 且 成 
功 地 阻止 这 些 行为 方面 ，ISS 的 RealSecure 是 基于 主机 检测 和 基于 网 络 检测 技术 实现 最 佳 
集成 的 典范 。 


8.3.4 Snort 入 侵 检 测 系 统 


1. Snort 简介 


Snort 是 一 个 轻 量 级 的 网 络 入 侵 检测 系统 。 所 谓 的 轻 量 级 ， 是 指 在 检测 时 尽 可 能 低地 
影响 网 络 的 正常 操作 。 一 个 优秀 的 轻 量 级 的 NIDS 应 该 具备 跨 系统 平台 操作 、 对 系统 影响 
最 小 等 特征 ， 并 且 管 理 员 能 够 在 短 时 间 内 通过 修改 配置 进行 实时 的 安全 响应 ， 更 为 重要 的 
是 能 够 成 为 整体 安全 结构 的 重要 成 员 。Snort 作为 其 典型 代表 ， 首 先 可 以 运行 在 多 种 操作 系 
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( 


统 平台 ， 例 如 UNIX 系列 和 Windows， 与 很 多 商用 产品 相 比 ， 它 对 操作 系统 的 依赖 性 比较 
低 。 其 次 ， 用 户 可 以 根据 自己 的 需要 及 时 在 短 时 间 内 调整 检测 策略 。Snort 集成 了 多 种 报警 
机 制 来 提供 实时 报警 功能 ， 其 中 包括 syslog、 用 户 指定 文件 、UnixSocket、 通 过 SMBClient 
使 用 WinPopup 对 Windows 客户 端 报警 。Snort 填补 了 IDS 只 有 商业 入 侵 检测 系统 的 空白 ， 
可 以 帮助 中 小 网 络 的 系统 管理 员 有 效 地 监视 网 络 流量 和 检测 入 侵 行 为 。 

2. Snort 的 工作 机 制 


Snort 作为 一 个 基于 网 络 的 入 侵 检测 系统 NIDS， 其 工作 原理 是 在 基于 共享 的 网 络 上 检 
测 原始 的 网 络 传输 数据 ， 通 过 分 析 捕 获 的 数据 包 ， 匹 配 入 侵 行为 的 特征 或 者 从 网 络 活动 的 
角度 检测 异常 行为 ， 进 而 采取 入 侵 的 预警 或 记录 。 就 检测 模式 而 言 ，Snort 属于 异常 检测 。 
从 本 质 上 来 说 ，Snort 是 基于 规则 检测 的 入 侵 检测 工具 ， 即 针对 每 一 种 入 侵 行为 ， 都 提炼 出 
其 特征 值 并 按照 规范 写成 检验 规则 ， 从 而 形成 一 个 规则 数据 库 。 其 次 ， 将 捕获 的 数据 包 按 
照 规 则 库 逐 一 匹配 ， 若 匹配 成 功 ， 则 认为 该 入 侵 行 为 成 立 。 

3. Snort 体系 结构 


Snort 从 结构 上 看 ， 主 要 分 为 如 下 4 个 部 分 。 

(1) Sniffer 即 噢 探 器 ， 这 是 Snort 最 初 的 开发 目的 。Snort 没有 自己 的 捕 包 工具 , 它 使 
用 一 个 外 部 的 捕 包 程序 库 Libpcap 从 物理 链 路 上 捕 包 。Libpcap 可 以 运行 在 任何 一 种 流行 的 
硬件 和 操作 系统 的 组 合 中 ， 这 使 得 Snort 成 为 一 个 真正 的 与 平台 无 关 的 应 用 程序 。Snort 按 
照 TCP/IP 协议 的 不 同 层次 对 收集 来 的 包 进 行 解码 , 解码 后 的 包 数 据 将 堆 满 一 个 数据 结构 。 
包 数 据 一 被 存 入 数据 结构 中 ， 就 会 迅速 被 送 到 预 处 理 程序 和 检测 引擎 中 进行 分 析 。 

(2) 预 处 理 器 。 以 可 插入 模块 的 形式 存在 于 Sniffer 和 检测 引擎 之 间 。 这 种 插件 机 制 
使 程序 具有 很 强 的 扩展 性 ， 模 块 性 强 ， 程 序 易 读 。Snort 的 预 处 理 可 以 分 为 两 类 : 一 类 预 处 
理 对 发 现 非 基于 特征 的 攻击 是 不 可 缺少 的 ， 另 一 类 预 处 理 负责 对 流量 标准 化 ， 以 便 检 测 引 
擎 能 准确 匹配 特征 。 预 处 理 的 参数 可 以 通过 Snort.conf 配置 文件 调整 ， 还 可 以 根据 需要 添 
加 或 删除 预 处 理 程序 。 

(3) 检测 引擎 。Snort 的 核心 部 件 ， 主 要 功能 是 规则 分 析 和 特征 检测 。 当 数据 包 从 预 
处 理 器 送 过 来 后 ， 检 测 引 擎 依据 预先 设置 的 规则 检查 数据 包 ， 一 旦 发 现 数据 包 中 的 内 容 和 
某 条 规则 相 匹 配 ， 就 通知 报警 模块 。 启 动 时 ，Snort 根据 具体 的 用 户 需 求 读 取 相应 的 规则 文 
件 ， 并 且 建 立 一 个 三 维 的 链表 。 当 进行 规则 的 匹配 时 ， 在 链表 的 两 个 方向 同时 进行 ， 检 测 
引擎 只 检测 那些 一 开始 在 规则 解析 器 中 设置 好 了 的 规则 选项 。 当 检测 引擎 检测 到 第 一 个 与 
被 解码 的 包 相 匹配 的 规则 时 ， 检 测 引擎 将 触发 相应 的 动作 并 返回 。 

(4) 日 志 / 报 警 。 检 测 引擎 检查 后 的 Snort 数据 需要 以 某 种 方式 输出 。Snort 对 每 个 被 
检测 的 数据 包 都 定义 了 3 种 处 理 方式 : 发 送 报警 信息 、 记 录 该 数据 包 和 忽略 该 数据 包 。 这 
其 实 是 具体 定义 在 检测 规则 中 的 。 上 有 具体 工作 是 在 日 志 / 报 警 子 系统 中 完成 的 : 日 志 子 系统 允 
许 用 户 将 包 解 码 收集 到 的 信息 以 可 读 的 格式 或 以 Tcpdump 格式 记录 下 来 ; 报警 子 系统 使 其 
将 报警 信息 发 送 到 syslog、 用 户 指 定 的 文件 、UNIX 套 接 字 或 数据 库 中 。 
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4. Snort 的 特点 


Snort 网 络 入 侵 检 测 系统 的 特点 如 下 : 

(1) Snort 虽然 功能 强大 , 但 是 其 代码 极为 简洁 、 短 小 ， 其 源 代码 压缩 包 不 足 200KB。 

(2) Snort 的 可 移植 性 非常 好 。Snort 的 跨 平 台 性 能 极 佳 ， 目 前 已 经 支持 Linux 系列 、 
Solaris、BSD 系列 、IRIX、HP-UX、Windows 系列 、ScoOpenserver 和 UnixWare 等 。 

(3) Snort 具有 实时 流量 分 析 和 进行 人 P 数据 包 日 志 记录 的 能 力 。 它 能 够 快速 地 检测 网 
络 攻击 ， 及 时 地 发 出 警报 。Snort 的 警报 机 制 很 丰富 。 

(4) Snort 能 够 进行 协议 分 析 、 内 容 的 搜索 /匹配 。 它 能 够 检测 多 种 方式 的 攻击 和 探测 ， 
例如 缓冲 区 溢出 、CGI 攻击 、SMB 检测 、 探 测 操作 系统 漏洞 的 企图 等 。 

(5) Snort 的 日 志 格式 既 可 以 是 Tcpdump 的 二 进 制 格式 ， 也 可 以 编码 成 ASCII 字符 形 
式 ， 更 便于 拥护 尤其 是 新 手 检查 或 使 用 数据 库 输出 插件 ，Snort 可 以 把 日 志 记 入 数据 库 ， 当 
前 支持 的 数据 库 包 括 Postagresql、MySQL、ODBC 和 Oracle 等 数据 库 。 

(6) 使 用 TCP 流 插 件 ，Snort 可 以 对 TCP 包 进 行 重组 。Snort 能 够 对 了 P 包 的 内 容 进 行 
匹配 ， 但 是 对 于 TCP 攻击 ， 如 果 攻 击 者 使 用 一 个 程序 ， 每 次 发 送 只 有 一 个 字 节 的 数据 包 ， 
完全 可 以 避 开 Snort 的 模式 匹配 。 而 被 攻击 主机 的 TCP 协议 栈 会 重组 这 些 数据 ， 将 其 发 送 
给 目标 端口 上 监听 的 进程 , 从 而 使 攻击 包 逃 过 Snort 的 监视 。 使 用 TCP 流 插件 , 可 以 对 TCP 
包 进 行 缓冲 ， 然 后 进行 匹配 ， 使 Snort 具备 对 付 上 面 攻击 的 能 力 。 

(7) 使 用 SPADE (Statistical Packet Anomaly Detection Engine) 插件 ，Snort 能 够 报告 
非 正常 的 可 疑 包 ， 从 而 对 端口 扫描 进行 有 效 的 检测 。 

(8) Snort 还 有 很 强 的 系统 防护 能 力 。 例 如 ， 使 用 其 IPTables、IPFilter 插件 可 以 使 入 
侵 检 测 主机 与 防火 墙 联动 ， 通 过 FlexResp 功能 ，Snort 能 够 命令 防火 墙 主动 断 开 恶意 连接 。 

(9) 扩展 性 能 较 好 ， 对 于 新 的 攻击 威胁 反应 迅速 。 

(10) Snort 支持 插件 ， 可 以 使 用 具有 特定 功能 的 报告 、 检 测 子 系统 插件 并 对 其 功能 进 
行 扩 展 。Snort 当前 支持 的 插件 包括 数据 库 日 志 输出 、 破 碎 数 据 包 检 测 、 端 口 扫描 检测 HTTP 
URL 以 及 XML 网 页 生成 等 插件 。 

(11) Snort 的 规则 语言 非常 简单 ， 能 够 对 新 的 网 络 攻击 做 出 很 快 的 反应 。 发 现 新 攻击 
后 ， 可 以 很 快 地 根据 Bugtrag 邮件 列表 ， 找 到 特征 码 ， 写 出 新 的 规则 文件 。 

总 之 , 对 于 世界 上 各 安全 组 织 来 讲 ，Snort 入 侵 检测 系统 都 是 一 个 十 分 优秀 的 入 侵 检 测 
系统 ， 它 具有 小 巧 灵 便 、 易 于 配置 、 检 测 效率 高 等 优点 。 下 面 对 Snort 在 Windows 平台 下 
的 安装 、 配 置 和 使 用 技术 做 一 简要 介绍 。 

1. Snort 在 Windows 平台 下 的 安装 、 配 置 


Snort 可 以 运行 在 UNIX 系统 和 Windows 平台 上 ,下 面 将 简要 介绍 Windows XP 下 Snort 
的 安装 与 配置 过 程 。 
(1) 双击 WinPcap 安装 程序 ， 这 里 以 WinPcap 4.0.2 为 例 ， 安 装 界面 如 图 8-5 所 示 。 
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BB Winpcap 4.0.2 Setup 


\ 由 WinPcap 4.0.2 Installer 
i cap Welcome to the Winpcap 4.0.2 Instalaton Wizard 


This product brought to you by 二 
5 一 


TECHNOLOGIES 


Packet Capturing and Network Analysis Solutions 


图 8-5 安装 WinPcap 4.0.2 
提示 : 因为 需要 对 网 络 底层 进行 操作 ,安装 Snort 前 需要 预先 安装 WinPcap ( Windows Packet 
Capture Library，Win32 平台 上 网 络 分 析 和 捕获 数据 包 的 链接 库 )。 
(2) 安装 完 WinPcap 后 ， 再 安装 Windows 平台 下 的 Snort 安装 程序 ， 安 装 界 面 如 
图 8-6 所 示 ， 在 此 选择 安装 路 径 为 C:\Snort。 


norTZ8.0.2 Setup 


Choose the folder in which to instal Snort 2.8.0.2. 鲍 


Setup wil install Snort 2.8.0.2in the following folder, To install in a different folder, cick 
Browse and select another folder, Clck Next to continue, 


Destination Folder 
[Ee 


Space required; 24.3MB 
Space avalable: 12.6G6 


图 8-6 ”安装 Snort 
(3) 安装 完 Snort 后 ， 在 DOS 命令 窗口 中 执行 如 下 命令 : 
Ci\Snort>cd Ci\Snort\bin 


Ci\Snort\bin>Snort -W 
如 果 安 装 成 功 ， 系 统 将 显示 如 图 8-7 所 示 的 信息 。 
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图 8-7 在 命令 窗口 检测 Snort 安 


2. Windows 平台 下 Snort 的 使 用 


Snort 
网 络 流量 。 
(1) 如 图 8-8 所 示 ， 在 局 域 

测 运行 Snort 的 主机 。 


后 ， 为 了 进一步 
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图 8-8 使 有 


(2) 回 到 运行 Snort 的 主机 (10.110. 
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查看 Snort 的 运行 情况 ， 可 以 人 为 制造 一 些 ICMP 


网 段 的 另 一 台 主 机 〈10.110.100.81) 上 使 用 ping 指令 ， 探 
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100.33), 使 用 Snort 的 嗅 探 器 模式 输入 如 下 命令 。 


据 包 ， 如 图 8-9 所 示 。 
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图 8-9 Snort 的 嗅 探 器 模式 
(3) 利用 数据 包 记 录 模 式 将 屏幕 上 输出 的 信息 记录 在 LOG 日 志文 件 中 。 输 入 如 下 命 
令 启用 数据 包 记 录 模 式 : 
Snort -dve -13 -1 c:\Snortlog -h 10.110.100.0/24 —K ascii 
(4) 在 命令 窗口 中 运行 该 命令 后 , 在 日 志 目 录 LOG 下 将 自动 生成 多 个 文件 夹 和 文件 ， 
如 图 8-10 所 示 。 每 个 文件 夹 下 记录 的 日 志 就 是 和 该 外 部 主机 相关 的 网 络 流量 。 


文件 E) 辆 加 全 查看 V) 中 车) 工具 中 帮助 wr 


(€ 1 人 争 月 里 六 天 [ 国 * 


地 址 Q) 已 > EE 


BEHUUHG 
[A 


图 8-10 Snort 数据 包 记 录 模 式 记录 的 日 志 
(5) 打开 男 一 台 主 机 (10.110.100.81) 探测 目标 主机 (10.110.100.33 ) 产生 的 日 志 又 
件 夹 , 用 记事 本 查看 其 中 的 日 志文 件 , 会 发 现 文件 的 内 容 和 嗅 探 器 模式 下 的 屏幕 输出 类 似 ， 
如 图 8-11 所 示 。 
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UDP_27015-27005- 记 事 本 
文件 E) 编辑 EE) 格式 (Q) 查看 (Vj 帮助 (H 


84/13-17:38:21.973695 8:5:3B:5E:1:ME -> 9:3:D:B5:AF:C6 type:Bx899 

len: gx3C 

19.119.53.81:27985 -> 19.119.199.33:276915 UDP TTL:195 TOS:@x11 ID:45961 
IpLen:28 DgnLen:hy 

Len: 16 

FF FF FF FF 69 6E 66 6F 73 74 72 69 6E 67 QA 88 ....infostring.. 


tt tt Ht 


图 8-11 Snort 数据 包 记录 模式 下 日 志 的 内 容 


以 上 介绍 了 Snort 的 工作 机 制 、 体 系 结构 、 特 点 及 其 在 Windows 平台 下 的 安装 、 配 置 
和 基本 使 用 方法 。Snort 有 一 组 规则 ， 它 们 详细 阐述 了 各 种 入 侵 的 特征 ， 使 Snort 能 够 探 
测 到 各 种 已 知 的 入 侵 。 但 由 于 入 侵 的 类 型 是 不 断 迅 速 变化 的 , 因此 这 些 规则 必须 频繁 更 改 ， 
尽 可 能 保证 与 最 新 攻击 的 各 种 类 型 保持 一 致 ， 使 Snort 始终 能 通过 规则 文件 检测 到 入 侵 的 
动作 。 

关于 Snort 规则 及 其 用 法 ， 在 此 不 作 介 绍 ， 读 者 可 自行 查阅 相关 资料 。 


8.4 1DS 目前 存在 的 问题 及 其 发 展 趋势 


1. IDS 目前 存在 的 问题 

入 侵 检测 系统 作为 一 种 主动 的 安全 防护 技术 ， 能 够 在 网 络 系统 受到 侵害 之 前 拦截 和 响 
应 入 侵 , 为 用 户 提供 了 对 内 、 外 部 攻击 的 实时 保护 。 但 是 , 现在 对 IDS 的 研究 还 不 够 深入 ， 
产品 的 性 能 也 有 待 于 提高 。 具 体 来 说 ，IDS 目前 存在 的 主要 问题 如 下 。 

(1) 多 数 入 侵 检 测 系统 的 体系 结构 是 集中 统一 收集 和 分 析 数 据 ， 即 数据 由 单一 的 主机 
收集 ， 并 按 唯一 的 标准 用 不 同方 法 进行 分 析 。 还 有 一 些 IDS 用 多 种 标准 从 被 监视 的 多 个 分 
布 式 主机 上 收集 分 散 的 数据 ， 但 这 些 数据 仍 要 由 一 台 完 全 独立 的 机 器 集中 进行 分 析 处 理 。 
该 体系 结构 存在 可 扩展 性 较 差 、IDS 重新 配置 或 增加 困难 等 问题 。 绝 大 多 数 入 侵 检 测 系统 
的 处 理 效率 低下 ， 不 能 满足 大 规模 和 高 带宽 网 络 的 安全 防护 要 求 。 

(2) 目前 使 用 的 主要 检测 方法 是 将 审计 事件 同 特征 库 中 的 特征 相 比较 、 匹 配 ， 但 现在 
的 特征 库 组 织 简单 ， 导 致 的 漏 报 率 和 误 报 率 较 高 ， 很 难 实现 对 分 布 式 、 协 同 式 攻 击 等 复杂 
攻击 手段 的 准确 检测 ， 此 外 ， 预 警 能 力 严 重 受 限于 攻击 特征 库 ， 缺 乏 对 未 知 入 侵 的 预警 能 
力 。 即 使 检测 到 攻击 ， 现 有 的 入 侵 检 测 系统 的 响应 能 力 和 实时 性 也 很 有 限 ， 不 能 预防 现在 
常见 的 快速 脚本 攻击 ， 对 于 此 类 快速 的 恶意 攻击 只 能 发 现 和 记录 ， 而 不 能 实时 阻止 。 

(3) 中 心 控制 台 对 攻击 数据 的 关联 和 分 析 能 力 不 足 ， 人 工 参与 过 多 。 
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(4) 系统 的 自 适应 能 力 差 ， 软 件 的 配置 和 使 用 复杂 ， 不 能 自动 地 适应 环境 ， 需 要 安全 
管理 员 根据 具体 的 环境 对 软件 进行 复杂 的 配置 。 

(5) 入 侵 检测 技术 及 相关 标准 化 仍 处 于 研究 与 开发 阶段 。 

(6) 入 侵 检测 系统 的 内 部 各 部 件 缺 乏 有 效 的 信息 共享 和 协同 机 制 ， 限 制 了 攻击 的 检测 
能 力 ， 入 侵 检测 系统 之 间 基 本 无 法 协同 ， 甚 至 交换 信息 都 很 难 实现 ， 因 此 要 建立 一 种 大 型 
的 基于 网 络 的 战略 安全 预警 系统 是 很 困难 的 。 

(7) IDS 本 身 也 往往 存在 着 安全 漏洞 。 

@ 对 IDS 数据 的 攻击 有 : 对 IDS 构件 之 间 传 输 的 数据 进行 加 密 ， 插 入 攻击 和 逃避 

攻击 。 

@ ”对 IDS 构件 的 攻击 有 : 冒充 控制 台 关 闭 分 析 引 擎 和 对 IDS 的 拒绝 服务 攻击 。 

由 于 IDS 的 工作 原理 实际 上 是 一 个 监听 器 ， 接 收 网 段 上 的 所 有 数据 包 ， 并 对 其 进行 分 
析 ， 与 一 些 已 有 的 特征 进行 匹配 ， 从 而 发 现 攻击 ， 并 实施 相应 的 措施 ， 但 若 使 用 传输 模式 
进行 端 到 端的 加 密 ， 则 IDS 无 法 工作 ， 因 为 其 接收 的 是 加 密 的 数据 包 。 

2. IDS 的 发 展 方向 

人 们 在 完善 原 有 技术 的 基础 上 ， 又 在 研究 新 的 检测 方法 ， 例 如 数据 融合 技术 、 主 动 的 
自主 代理 方法 、 智 能 技术 以 及 免疫 学 原理 的 应 用 等 。 其 主要 的 发 展 方向 概括 如 下 

(1) 大 规模 分 布 式 入 侵 检 测 。 传 统 的 入 侵 检测 技术 一 般 只 局 限于 单一 的 主机 或 网 络 杠 
架 ， 显 然 不 能 适应 大 规模 网 络 的 监测 ， 不 同 的 入 侵 检测 系统 之 间 也 不 能 协同 工作 ， 因 此 必 
须发 展 大 规模 的 分 布 式 入 侵 检 测 技术 。 

(2) 宽带 高 速 网 络 的 实时 入 侵 检测 技术 。 大 量 高 速 网 络 的 不 断 涌现 ， 各 种 宽带 接 入 手 
段 层 出 不 穷 ， 如 何 实现 高 速 网 络 下 的 实时 入 侵 检 测 成 为 一 个 现实 的 问题 。 

(3) 入 侵 检测 的 数据 融合 技术 。 目 前 的 IDS 还 存在 着 很 多 缺陷 : 首先 ， 目 前 的 技术 还 
不 能 对 付 训练 有 素 的 黑客 的 复杂 攻击 ， 其次， 系统 的 虚 警 率 太 高 ， 最 后 ， 系 统 需 要 对 大 量 
的 数据 进行 处 理 ， 非 但 无 助 于 解决 问题 ， 还 降低 了 处 理 能 力 。 数 据 融合 技术 是 解决 这 一 系 
列 问题 的 好 方法 。 

(4) 与 网 络 安全 技术 相 结合 。 结 合 防火 墙 、 病 毒 防 护 以 及 电子 商务 技术 ， 提 供 完 整 的 
网 络 安全 保障 。 


小 结 


本 章 通 过 介绍 网 络 入 侵 检测 的 重要 性 ， 描 述 了 入 侵 检测 的 结构 、 原 理 和 检测 的 过 程 ， 
并 提出 了 入 侵 检测 的 CIDF 模型 。 同 时 ， 根 据 检测 原理 、 检 测 对 象 、 检 测 系统 的 体系 结构 
和 检测 技术 的 不 同 ， 将 入 侵 检 测 系统 划分 为 不 同 的 类 型 ， 提 出 了 评价 入 侵 检测 系统 的 主要 
性 能 指标 。 另 外 ， 介 绍 了 入 侵 检 测 系统 在 网 络 中 的 典型 部 署 方式 、 不 同 的 网 络 扫描 技术 ， 
以 及 网 络 攻击 中 常用 的 网 络 监听 技术 和 Sniffer 嗅 探 技 术 。 最 后 ， 通 过 简要 介绍 BlackICE、 
Dragon 和 Snort 3 种 商用 入 侵 检测 系统 的 特点 及 其 工作 机 制 ， 提 出 了 入 侵 检 测 系 统 IDS 目 
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前 存在 的 问题 及 其 发 展 趋势。 
练习 和 思 


简 述 入 侵 检测 的 基本 原理 和 检测 过 程 。 

简 述 入 侵 检测 系统 模型 CIDF 的 结构 。 

入 侵 检测 系统 有 哪些 类 型 ? 

入 侵 检测 的 主要 性 能 指标 有 哪儿 项 ? 

网 络 扫描 的 主要 技术 有 哪儿 种 ? 

简 述 网 络 嗅 探 器 Sniffer 的 工作 原理 。 

列举 几 种 商用 入 侵 检测 系统 ， 并 简要 介绍 其 特点 。 
概述 入 侵 检测 的 发 展 方向 。 


ON DD 一 


Internet 安全 、VPN 和 IPSec 


本 章 学 习 要 求 : 
(1) 掌握 Web 的 基本 概念 和 安全 需求 。 
(2) 掌握 电子 商务 的 基本 概念 ， 熟 悉 安 全 电子 商务 体系 结构 ， 了 解 SSL 和 SET 安全 
协议 。 
(3) 掌握 黑客 和 网 络 攻击 的 概念 ， 熟 悉 网 络 攻击 的 类 型 和 流程 ， 了 解 相关 黑客 攻击 技 
术 和 防范 。 
(4) 熟悉 IPSec 的 基本 安全 技术 ， 掌 握 VPN 的 基本 原理 ， 熟 悉 VPN 的 应 用 环境 ， 了 
解 VPN 协议 。 
(5) 了 解 电子 邮件 存在 的 安全 威胁 及 防范 方法 ， 掌 握 电 子 邮 件 加 密 软件 的 应 用 。 
(6) 了 解 TCP/IP 协议 ， 熟 悉 TCP/IP 协议 的 层次 安全 。 
(7) 了 解 Web 存在 的 实际 安全 问题 和 解决 方法 。 


重点 难点 : 
(1) 重点 : TCP/IP 协议 的 层次 安全 ，Web 的 安全 需求 ，Web 存在 的 实际 安全 问题 和 
解决 方法 。 


(2) 难点 : VPN 的 基本 原理 ，IPSec 的 基本 安全 技术 。 


Internet 是 基于 TCP/IP 协议 簇 的 计算 机 网 络 ， 而 TCP/IP 也 是 目前 Internet 上 最 流行 的 
协议 。 不 过 ， 在 Internet 于 1966 年 诞生 时 ,创建 者 更 注重 的 是 网 络 的 功能 ， 因 此 Internet 
和 TCP/IP 协议 并 没有 被 过 多 地 考虑 安全 性 。 随 着 Internet 技术 的 发 展 ， 利 用 Internet 进行 网 
上 银行 、 电 子 购 物 、 电 子 商 务 等 多 种 与 经 济 生活 相关 的 经 济 活动 如 今 早 已 成 为 了 现实 。 在 
此 类 经 济 活动 中 ， 人 们 最 为 关心 的 问题 就 是 Internet 的 安全 性 。 

Internet 安全 协议 IPSec 是 IETF 定义 的 Internet 安全 通信 的 一 系列 规范 , 为 私有 信息 通 
过 公用 网 提供 了 安全 保障 。IPSec 规范 相当 复杂 ， 其 中 包含 大 量 的 文档 。IPSec 在 Internet 
的 他 层 提供 安全 服务 ,可 使 系统 按 需 选择 安全 协议 ,决定 服务 所 使 用 的 算法 及 放置 需求 服 
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务 所 需 密 钥 到 相应 位 置 ， 因 此 可 以 有 效 地 保护 各 种 上 层 协议 ， 并 为 各 种 安全 服务 提供 一 个 
统一 的 平台 。IPSec 也 是 被 下 一 代 Internet 所 采用 的 网 络 安全 协议 。 

目前 , 虚拟 专用 网 VPN 技术 也 是 实现 安全 传输 的 重要 手段 之 一 , 利用 它 可 以 在 远程 用 
户 、 公 司 分 支 机 构 、 商 业 合作 伙伴 与 公司 的 内 部 网 之 间 建 立 可 信 的 安全 连接 ， 保 护 数据 的 
安全 传输 ， 同 时 ， 通 过 将 数据 流转 移 到 低 成 本 的 耳 网 络 上 ， 可 以 大 幅度 地 减少 用 户 使 用 
WAN 和 远程 网 络 连接 的 费用 。 正 因为 它 的 安全 、 节 省 费用 、 灵 活性 大 等 特点 ，VPN 得 到 
了 迅速 的 发 展 ， 并 成 为 网 络 技术 领域 中 的 一 个 热点 。 目 前 ，IPSec 协议 是 VPN 开发 中 使 用 
得 最 广泛 的 一 种 协议 ， 有 可 能 在 将 来 成 为 IPVPN 的 标准 ， 用 来 保护 一 条 或 多 条 主机 与 主机 
间 、 安 全 网 关 与 安全 网 关 间 、 安 全 网 关 与 主机 间 的 路 径 。 

本 章 从 Internet 中 最 流行 的 协议 一 一 TCP/IP 协议 的 基本 概念 出 发 , 着 重 介绍 TCP/IP 协 
议 的 安全 性 问题 、Web 站 点 安全 、 虚 拟 专用 网 VPN， 以 及 Internet 安全 协议 IPSec。 


9.1 TCPI/IP 协议 及 其 安全 


TCP/IP 是 指 传输 控制 协议 /网 际 协议 ， 是 Internet 上 所 有 网 络 和 主机 之 间 进 行 交流 所 使 
用 的 共同 “语言 ” 是 Internet 上 使 用 的 一 组 完整 的 标准 网 络 连接 协议 。 通 常 所 说 的 TCP/IP 
协议 实际 上 包含 了 大 量 的 协议 和 应 用 ， 且 由 多 个 独立 定义 的 协议 组 合 在 一 起 ， 因 此 也 称 其 
为 TCP/IP 协议 簇 。 


9.1.1 TCP/IP 的 层次 结构 


TCP/IP 的 体系 结构 比较 简单 ， 只 有 4 层 ， 分 别 是 网 络 接口 层 、 网 络 层 、 传 输 层 和 应 
用 层 。 

(1) 网 络 接口 层 。TCP/IP 模型 的 最 低层 是 网 络 接口 层 ， 也 被 称 为 网 络 访问 层 ， 其 中 
包括 可 使 用 TCP/IP 与 物理 网 络 进行 通信 的 协议 ， 且 对 应 着 OSI 的 物理 层 和 数据 链 路 层 。 
TCP/P 标准 并 没有 定义 具体 的 网 络 接口 协议 ， 而 是 则 在 提供 灵活 性 ， 以 适应 各 种 网 络 类 型 
(如 LAN、MAN 和 WAN)， 这 也 说 明了 TCP/IP 协议 可 以 运行 在 任何 网 络 之 上 。 

(2) 网 络 层 。 网 络 层 是 在 Internet 标准 中 正式 定义 的 第 一 层 。 网 络 层 所 执行 的 主要 功 
能 是 处 理 来 自传 输 层 的 分 组 , 将 分 组 形成 数据 包 (IP 数据 包 ), 并 为 该 数据 包 进 行路 由 选择 ， 
最 终 将 数据 包 从 源 主机 发 送 到 目的 主机 。 在 网 络 层 中 ， 最 常用 的 协议 是 网 际 协议 卫 ， 其 他 

些 协议 用 来 协助 瑟 协议 的 操作 。 

(3) 传输 层 。TCP/IP 的 传输 层 也 被 称 为 主机 至 主机 层 ， 与 OSI 的 传输 层 类 似 ， 主 要 
负责 主机 到 主机 之 间 的 端 到 端 通信 。 该 层 使 用 了 两 种 协议 一 一 TCP 与 UDP 来 支持 两 种 数据 
的 传送 方法 。 

(4) 应 用 层 。 在 TCP/IP 模型 中 ， 应 用 程序 接口 是 最 高 层 。 与 OSI 模型 中 的 高 3 层 任 
务 相 同 ， 应 用 层 也 是 用 于 提供 网 络 服务 ， 如 文件 传输 服务 、 远 程 登录 、 域 名 服务 和 简单 网 
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络 管理 等 。 
9.1.2 TCP/IP 的 主要 协议 及 其 功能 


在 TCP/IP 的 层次 结构 中 包括 4 个 层次 ， 但 实际 上 只 有 3 个 层次 包含 了 实际 的 协议 。 
TCP/IP 中 各 层 的 协议 如 图 9-1 所 示 。 


应 用 层 | ~ | sum sup TuNed|- 


传输 层 TCP UDP 
_ 
网 络 层 CF |] [xp 
网 络 接口 层 TAN MAN WAN 


图 9-1 TCP/IP 协议 簇 

1. 网 络 层 协议 

(1) 网 际 协议 (Internet Protocol，IP) 

IP 协议 的 任务 是 对 数据 包 进 行 相应 的 寻 址 和 路 由 选择 ， 并 从 一 个 网 络 转发 到 另 一 个 网 
络 。IP 协议 在 每 个 发 送 的 数据 包 前 都 加 入 了 控制 信息 ， 其 中 包含 了 源 主机 的 全 地址、 目的 
主机 的 IP 地 址 和 其 他 一 些 信 息 。IP 协议 的 另 一 项 工作 是 分 割 和 重 编 被 分 割 的 传输 层 数 据 
包 。 由 于 数据 包 要 从 一 个 网 络 转发 到 另 一 个 网 络 ， 当 两 个 网 络 所 支持 传输 的 数据 包 大 小 不 
同时 ， 卫 协议 就 要 在 发 送 端 将 数据 包 分 割 ， 然 后 在 分 割 的 每 一 段 前 再 加 入 控制 信息 进行 传 
输 。 当 接收 端 接收 到 数据 包 后 ， 卫 协议 将 所 有 的 片段 重新 组 合成 原始 的 数据 。 

IP 是 一 个 无 连接 的 协议 。 无 连接 是 指 主机 之 间 不 建立 用 于 可 靠 通信 的 端 到 端 连接 ， 源 
主机 只 是 简单 地 将 卫 数据 包 发 送出 去 ， 而 卫 数据 包 可 能 会 丢失 、 重 复 、 延 迟 或 者 次 序 混 


乱 。 因 此 ， 要 实现 数据 包 的 可 靠 传 输 ， 就 必须 依靠 高 层 的 协议 或 应 用 程序 ， 例 如 传输 层 的 
TCP 协议 。 


(2) 网 际 控制 报 文 协议 (Internet Control Message Protocol，ICMP) 
网 际 控制 报 文 协议 ICMP 为 IP 协议 提供 差错 报告 。 由 于 IP 是 无 连接 的 ， 且 不 进行 差 
错 检验 ， 当 网 络 上 发 生 错 误 时 它 不 能 检测 错误 。 此 时 向 发 送 卫 数据 包 的 主机 汇报 错误 便 成 
了 ICMP 的 责任 。 例 如 ， 如 果 某 台 设 备 不 能 将 一 个 他 数据 包 转 发 到 男 一 个 网 络 ， 它 就 向 发 
送 数 据 包 的 源 主机 发 送 一 个 消息 , 并 通过 ICMP 解释 这 个 错误 。 ICMP 能 够 报告 的 一 些 普通 
错误 类 型 有 : 终点 不 可 达 、 阻 塞 、 时 间 超 时 、 参 数 问题 、 改 变 路 由 等 。 
(3) 网 际 主 机 组 管理 协议 (Internet Group Management Protocol，IGMP) 
卫 协议 只 负责 网 络 中 点 到 点 的 数据 包 传输 ， 而 点 到 多 点 的 数据 包 传输 则 要 依靠 网 际 主 
机 组 管理 协议 ICMP 来 完成 。 它 主要 负责 报告 主机 组 之 间 的 关系 ， 以 便 相 关 的 设备 可 支持 
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多 播发 送 。 
(4) 地 址 解析 协议 (Address Resolution Protocol，ARP) 和 反 向 地 址 解析 协议 (Reverse 
Address Resolution Protocol, RARP) 
计算 机 网 络 中 各 主机 之 间 要 进行 通信 时 ， 必 须知 道 彼此 的 物理 地 址 。 因 此 ， 在 TCP/IP 
的 网 络 层 有 ARP 和 RARP 协议 ， 它 们 的 作用 是 将 源 主机 和 目的 主机 的 了 P 地 址 与 它们 的 物 
理 地 址 相 匹 配 。 
2. 传输 层 协 议 
(1) 传输 控制 协议 TCP 
TCP 是 TCP/IP 体系 中 面向 连接 的 传输 层 协议 , 可 提供 全 双 工 的 和 可 靠 的 交付 服务 。 而 
对 大 量 数据 的 传送 ， 一 般 都 要 求 有 可 靠 的 传送 。 
TCP 协议 将 源 主机 应 用 层 的 数据 分 成 多 个 分 组 ， 然 后 将 每 个 分 组 送 到 网 络 层 ， 网 络 层 
将 数据 封装 为 卫 数据 包 ， 并 发 送 到 目的 主机 。 目 的 主机 的 网 络 层 将 了 P 数据 包 中 的 分 组 传 
送 给 传输 层 ， 再 由 传输 层 对 这 些 分 组 进行 重组 ， 还 原 成 原始 数据 ， 并 传送 给 应 用 层 。 另 外 ， 
TCP 协议 还 要 完成 流量 控制 和 差错 检验 任务 ， 以 保证 数据 的 可 靠 传 输 。 
(2) 用 户 数据 报 协议 UDP 
UDP 是 一 种 面向 无 连接 的 协议 , 因此 它 不 能 提供 可 靠 的 数据 传输 。UDP 也 不 进行 差错 
检验 ， 必 须 由 应 用 层 的 应 用 程序 来 实现 可 靠 性 机 制 和 差错 控制 ， 以 保证 端 到 端 数 据 传输 的 
正确 性 。 虽 然 UDP 与 TCP 相 比 显得 不 可 靠 ， 但 在 一 些 特定 的 情况 下 还 是 很 有 优势 的 。 例 
如 ， 要 发 送 的 信息 较 短 ， 不 值得 在 主机 之 间 建 立 一 次 连接 。 另 外 ， 面 向 连接 通信 通常 只 能 
在 两 个 主机 之 间 进 行 ， 若 要 实现 多 个 主机 之 间 的 一 对 多 或 多 对 多 的 数据 传输 ， 即 广播 和 多 
播 ， 就 需要 UDP 协议 。 
3. 应 用 层 协议 
TCP/IP 层次 结构 中 ， 应 用 层 包 括 了 所 有 的 高 层 协议 ， 都 是 为 用 户 或 应 用 程序 提供 特定 
网 络 服务 功能 来 设计 和 使 用 的 ， 并 且 总 是 随 着 新 业务 的 增加 而 不 断 地 有 新 的 协议 加 入 。 应 
用 层 协 议 主要 有 以 下 儿 种 : 
(1) 远程 终端 协议 Telnet， 本 地 主机 作为 仿真 终端 登录 到 远程 主机 上 运行 应 用 程序 。 
(2) 文件 传输 协议 FTP: 实现 计算 机 之 间 的 文件 传送 。 
(3) 简单 邮件 传输 协议 SMTP: 实现 计算 机 之 间 电 子 邮 件 的 传送 。 
(4) 域名 服务 DNS: 用 于 实现 域名 与 卫 地 址 的 映射 。 
(5) 动态 主机 配置 协议 DHCP: 实现 对 计算 机 的 地 址 分 配 和 配置 工作 。 
(6) 路 由 信息 协议 RIP: 用 于 网 络 设备 之 间 交 换 路 由 信息 。 
(7) 超 文 本 传输 协议 HTTP: 用 于 Internet 中 的 客户 机 与 WWW 服务 器 之 间 的 数据 
传输 。 
(8) 网 络 文件 系统 NFS: 实现 计算 机 之 间 的 文件 系统 共享 。 
(9) 引导 协议 BOOTP: 用 于 无 盘 主 机 或 工作 站 的 启动 。 
(10) 简单 网 络 管理 协议 SNMP: 实现 网 络 管理 。 
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9.1.3 TCP/IP 的 层次 安全 


基于 TCP/IP 协议 的 网 络 安全 服务 是 分 层 的 , 不 同 层次 提供 的 网 络 服务 是 不 同 的 , 所 以 
提供 的 安全 性 也 不 同 。 例 如 ,在 网 络 层 提供 虚拟 专用 网 络 ， 在 传输 层 提供 安全 套 接 服 务 等 。 
1. 网络 接口 层 安全 


网 络 接口 层 是 TCP/IP 协议 的 最 低层 ， 包 括 OSI 的 物理 层 、 数 据 链 路 层 。 从 理论 上 讲 ， 
该 层 并 不 是 TCP/IP 的 一 部 分 ， 但 它 是 组 成 Internet 的 各 种 通信 网 络 〈 包 括 局 域 网 LAN、 城 
域 网 MAN、 广 域 网 WAN) 与 TCP/IP 之 间 的 接口 ， 是 TCP/IP 实现 的 基础 。 为 保证 通过 网 
络 链 路 传送 的 数据 安全 ， 主 要 采用 划分 VLAN、 加 密 通信 等 手段 。 

网 络 接口 层 是 TCP/IP 网 络 中 最 复杂 的 一 个 层次 ， 常 见 的 攻击 是 针对 组 成 TCP/IP 网 络 
的 以 太 网 进行 网 络 嗅 探 ， 即 利用 网 络 上 的 接口 接收 不 属于 本 机 的 数据 。 在 以 太 网 中 ， 所 有 
的 通信 都 是 广播 的 ， 也 就 是 说 在 同一 个 网 段 的 所 有 网 络 接口 都 可 以 访问 在 物理 媒体 上 传输 
的 所 有 数据 ,而 每 一 个 网 络 接口 都 有 一 个 唯一 的 硬件 地 址 ， 这 个 硬件 地 址 就 是 网 卡 的 MAC 
地 址 。 在 网 络 上 进行 数据 通信 时 ， 信 息 以 数据 报 的 形式 传送 ， 其 报头 包含 了 目的 主机 的 硬 
件 地 址 ， 只 有 硬件 地 址 匹配 的 机 器 才 会 接收 该 数据 报 。 然 而 网 络 上 也 存在 一 些 能 接收 所 有 
数据 报 的 机 器 (或 接口 )， 称 为 杂 错 节点 。 一 般 情况 下 ， 用 户 账户 和 口令 等 信息 都 是 以 明文 
的 形式 在 网 络 上 传输 的 ， 所 以 一 旦 被 黑客 在 杂 错 节点 上 嗅 探 到 ， 用 户 就 可 能 遭 到 攻击 ， 从 
而 遭受 难以 弥补 的 损失 。 针 对 这 一 类 攻击 ， 通 常 可 采取 以 下 几 种 防范 措施 。 

(1) 网 络 分 段 : 防止 嗅 控 最 有 效 的 手段 就 是 进行 合理 的 网 络 分 段 ， 并 在 网 络 中 使 用 交 
换 机 和 网 桥 ， 最 理想 的 情况 应 使 每 一 台 机 器 都 拥有 自己 的 网 络 段 ， 当 然 这 会 相应 地 增加 很 
多 网 络 建设 费用 ， 所 以 并 不 现实 。 可 以 尽量 使 相互 信任 的 机 器 属于 同一 个 网 段 ， 并 在 网 段 
与 网 段 间 进行 硬件 屏障 ， 最 大 限度 地 防止 响 探 的 存在 。 

(2) 加 密 : 对 在 网 络 中 传送 的 敏感 数据 ， 如 用 户 卫 或 口令 等 进行 加 密 ， 一 般 可 以 选 
用 SSH、FSSH 等 加 密 手 段 。 

(3) 禁用 杂 错 节点 : 安装 不 支持 杂 错 节点 的 网 卡 ， 可 以 有 效 地 防止 噢 探 。 


2. 网 络 层 的 安全 性 


在 过 去 20 多 年 里 ， 业 界 相继 提出 了 一 些 方案 对 网 络 层 的 安全 协议 进行 标准 化 。 例 如 
安全 协议 3 号 (SP3) 就 是 美国 国家 安全 局 以 及 标准 技术 协会 作为 安全 数据 网 络 系统 SDNS 
的 一 部 分 而 制定 的 ， 网 络 层 安全 协议 NLSP 是 由 国际 标准 化 组 织 为 无 连接 网 络 协议 CLNP 
制定 的 安全 协议 标准 ;集成 化 NLSP(I-NLSP) 是 美国 国家 科技 研究 所 提出 的 包括 也 和 CLNP 
在 内 的 统一 安全 机 制 。 所 有 这 些 提案 的 共同 点 多 于 不 同 点 。 事 实 上 ， 它 们 用 的 都 是 卫 封装 
技术 。 其 本 质 是 纯 文 本 的 包 被 加 密 , 封装 在 外 层 的 他 报头 里 , 用 来 对 加 密 的 包 进 行 Internet 
上 的 路 由 选择 ， 到 达 另 一 端 时 ， 外 层 的 卫 报头 被 拆 开 ， 报 文 被 解密 ， 然 后 送 到 收报 地 点 。 

Internet 工程 任务 组 IETF 已 经 特许 Internet 安全 协议 IPSec 工作 组 对 卫 安全 协议 IPSec 
和 对 应 的 Internet 密 钥 管 理 协议 IKMP 进行 标准 化 工作 。 卫 安全 协议 标准 化 〈IPSP) 的 主 
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要 目的 是 使 需要 安全 措施 的 用 户 能 够 使 用 相应 的 加 密 安 全 体制 。 该 体制 不 仅 能 在 目前 通行 
的 IPv4 下 工作 , 也 能 在 IP 的 新 版 本 IPng 或 IPv6 下 工作 。 该 体制 应 该 是 与 算法 无 关 的 ， 即 
使 加 密 算法 替换 了 ， 也 不 会 对 其 他 部 分 的 实现 产生 影响 。 此 外 ， 该 体制 必须 能 实行 多 种 安 
全 政策 , 但 要 避免 给 不 使 用 该 体制 的 人 造成 不 利 影响 。 按 照 这 些 要 求 ,，IPSec 工作 组 制定 了 
相应 规范 认证 头 (Authentication Header，AH) 和 封装 安全 有 效 负 荷 (Encapsulating 
Security Payload，ESP)。 简 言 之 ，AH 提供 他 包 的 真实 性 和 完整 性 ，ESP 提供 机 要 内 容 。 

关于 AH 和 ESP 将 在 9.7 节 再 作 详细 介绍 。 

网 络 层 安全 机 制 的 主要 优点 是 其 透明 性 ,也 就 是 说 , 安全 服务 的 提供 不 需要 应 用 程序 、 
其 他 通信 层次 和 网 络 部 件 做 任何 改动 ， 而 它 最 主要 的 缺点 是 网 络 层 一 般 对 属于 不 同 进 程 的 
相应 的 包 不 作 区 别 。 对 所 有 去 往 同 一 地 址 的 包 ， 它 将 按照 同样 的 加 密 密 钥 机 制 和 访问 控制 
策略 来 处 理 。 这 可 能 导致 提供 不 了 所 需 的 功能 ， 也 会 导致 性 能 下 降 。 针 对 面向 主机 的 密 钥 
分 配 问 题 ，RFC 1825 允许 (甚至 可 以 说 是 推荐 ) 使 用 面向 用 户 的 密 钥 分 配 ， 其 中 不 同 的 连 
接 会 得 到 不 同 的 加 密 密 钥 。 但 是 ， 面 向 用 户 的 密 钥 分 配 需要 对 相应 的 操作 系统 内 核 进行 比 
较 大 的 改动 。 

总 之 ， 网 络 层 是 非常 适合 提供 基于 主机 对 主机 的 安全 服务 的 。 相 应 的 安全 协议 可 以 用 
来 在 Internet 上 建立 安全 的 全 通道 和 虚拟 专用 网 。 例 如 , 利用 它 对 全 包 的 加 密 和 解密 功能 ， 
可 以 简捷 地 强化 防火 墙 系统 的 防卫 能 力 。 

网 络 层 安全 性 问题 的 核心 在 于 网 络 是 否 能 得 到 控制 ， 目 的 网 站 通过 对 源 PP 进行 分 析 ， 
便 能 够 初步 判断 来 自 这 一 IP 的 数据 是 否 安全 ,是 否 会 对 本 网 络 系统 造成 危害 , 来 自 这 一 人 P 
的 用 户 是 否 有 权 使 用 本 网 络 的 数据 。 一 旦 发 现 某 些 数据 来 自 不 可 信任 的 卫 地 址 ， 系 统 便 会 
自动 将 来 访 者 拒 之 门 外 ， 并 且 大 多 数 系统 能 够 自动 记录 那些 曾经 造成 过 危害 的 卫 地 址 ， 使 
它们 的 数据 无 法 造成 第 二 次 危害 。 网 络 层 的 主要 安全 技术 包括 防火 墙 技术 、IPSec 技术 、 端 
口 扫描 技术 及 入 侵 检测 技术 。 

ARP 欺骗 就 是 发 生 在 网 络 层 上 的 典型 安全 问题 。TCP/IP 中 使 用 的 地 址 解析 协议 ARP， 
是 一 种 将 瑟 地 址 转换 为 PP 对 应 的 网 卡 的 物理 MAC 地 址 的 一 种 协议 。 在 TCP 网 络 环境 下 ， 
一 个 IP 包 走 到 哪里 ， 要 怎么 走 是 靠 路 由 表 定 义 。 但 是 ， 当 IP 包 到 达 该 网 络 后 ， 哪 台 机 器 
响应 这 个 人 P 包 却 是 靠 该 人 P 包 中 所 包含 的 物理 地 址 来 识别 的 。 在 每 台 主机 的 内 存 中 ， 都 有 
一 个 ARP 的 转换 表 ， 它 通常 是 动态 的 转换 表 ( 但 在 路 由 选择 中 ， 该 ARP 表 可 以 被 设置 成 
静态 ) ， 在 主机 需要 的 时 候 刷 新 。 

入 侵 实例 : 假设 某 台 主机 的 防火 墙 只 对 210.36.80.67 这 个 卫 开放 23 号 端口 ， 如 果 用 
Telnet 进入 这 台 主 机 ， 非 法 入 侵 者 将 设法 使 其 暂时 死机 ， 使 发 送 到 210.36.80.67 的 他 包 无 
法 被 主机 应 答 ， 系 统 开始 更 新 自己 的 ARP 对 应 表 并 将 210.36.80.67 的 项 目 删 去 。 此 时 入 侵 
者 即 可 把 自己 的 卫 改 成 210.36.80.67， 并 发 一 个 ping (ICMP0) 给 主机 ， 要 求 主 机 更 新 它 
的 ARP 转换 表 。 主机 找到 该 卫 后 , 将 在 ARP 表 中 加 入 新 的 卫 地 址 -~MAC 地 址 对 应 关系 ， 
防火 墙 即 失效 ， 入 侵 的 他 变 成 合法 的 MAC 地 址 ， 即 可 Telnet 了 。 

上 述 例子 中 的 ARP 欺骗 过 程 是 在 同 网 段 发 生 的 ,利用 交换 机 、 集 线 器 或 网 桥 是 无 法 阻 
止 的 ; 如 果 下 包 经 过 路 由 器 转发 ， ARP 欺骗 配合 ICMP 欺骗 将 对 网 络 造 成 更 大 的 危害 。 在 
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实际 处 理 中 不 要 把 网 络 安全 信任 关系 建立 在 人 p 或 MAC 基础 上 ， 理 想 的 关系 是 建立 在 
IP+MAC ( 即 绑 定 卫 地 址 和 MAC 地 址 ) 基础 上 ; 设置 静态 的 MAC 地 址 一 IP 地 址 对 应 表 ， 
使 主机 不 能 刷新 设 定好 的 转换 表 ， 使 用 Proxy 代理 他 的 传输 ， 使 用 硬件 屏 珊 主机 ， 设 置 路 
由 确保 卫 地 址 能 到 达 合法 的 路 径 ， 例 如 静态 配置 路 由 ARP 条 目 ; 定期 检查 ARP 请 求 ， 使 
日 ARP 监视 工具 。 这 些 都 可 以 防范 ARP 欺骗 。 


3. 传输 层 的 安全 性 


传输 层 负责 起 点 到 终点 的 通信 。 该 层 有 两 个 广 为 使 用 的 协议 : TCP 和 UDP。TCP 是 一 
个 面向 连接 的 协议 , 它 允 许 从 一 台 主 机 发 出 的 报 文 无 差错 地 发 往 互 联网 上 的 其 他 机 器 .UDP 
是 一 个 不 可 靠 的 、 无 连接 协议 ， 用 于 不 需要 TCP 排序 和 流量 控制 而 是 自己 完成 这 些 功能 的 
应 用 程序 。 它 也 被 广泛 地 应 用 于 只 有 一 次 的 客户 机 /服务 器 模式 的 请 求 /应 答 查询 ， 以 及 快速 
递交 更 重要 的 应 用 程序 , 例如 传输 语音 或 影像 。 为 了 向 应 用 层 提 供 可 靠 的 数据 传输 , TCP/IP 
采取 了 一 系列 复杂 的 措施 ,包括 3 次 握手 、 基 于 滑动 窗口 的 确认 和 重 传 机 制 、 流 量 控制 等 ， 
其 中 主要 通过 3 次 握手 实现 TCP 连接 ; 但 是 传输 层 的 脆弱 性 已 成 为 网 络 协议 攻击 的 主要 突 
破 口 之 一 。 其 漏洞 主要 有 : 
(1) TCP 连接 的 建立 与 终止 。TCP 连接 的 建立 与 断 开机 制 保证 了 传输 的 可 靠 性 与 速 
度 , 但 是 在 连接 建立 过 程 完成 之 后 ， 服 务 器 端 将 不 再 验证 连接 的 另 一 方 是 不 是 合法 的 用 户 ， 
这 种 脆弱 性 的 直接 后 果 是 连接 可 能 被 窃取 。 
(2) TCP 连接 请 求 队列 的 处 理 方法 看 起 来 很 适用 于 连接 的 实际 情况 , 但 是 很 容易 出 现 
以 下 现象 一 一 如 果菜 一 用 户 不 断 地 向 服务 器 某 一 端口 发 送 申 请 TCP 连接 的 SYN 请 求 包 ， 
但 不 对 服务 器 的 SYN 包 发 回 ACK 确认 信息 ， 则 无 法 完成 连接 。 当 未 完成 的 连接 填 满 传输 
层 的 队列 时 ， 它 将 不 再 接受 任何 连接 请 求 ， 包 括 合法 的 连接 请 求 ， 这 样 就 可 能 使 服务 器 端 
口服 务 挂 起 。 
(3) TCP 连接 的 保持 。TCP 连接 可 长 期 保持 的 特性 ， 造 成 当 TCP 连接 上 很 长 时 间 内 
无 数据 被 传送 时 ，TCP 连接 资源 的 浪费 。 
由 于 TCP/IP 协议 本 身 非 常 简单 ， 没 有 加 密 、 身 份 认 证 等 安全 特性 ， 因 此 要 向 上 层 应 用 
层 提供 安全 通信 的 机 制 就 必须 在 TCP 之 上 建立 一 个 安全 通信 层次 。TCP 连接 欺骗 (IP 欺骗 ) 
就 是 传输 层 存在 的 典型 安全 问题 。 
TCP/IP 协议 用 IP 地 址 来 作为 网 络 节 点 的 唯一 标识 ， 但 是 他 地 址 是 不 固定 的 ， 这 就 为 
IP 欺骗 带 来 可 能 。 如 果 攻 击 方 X 观察 到 某 合法 用 户 A 停止 运行 ， 或 通过 其 他 手段 使 A 无 
法 响应 报 文 信息 ，X 就 可 以 冒充 A 向 主机 B 发 起 连接 后 进行 通信 。 利 用 TCP/IP 建立 连接 
的 3 次 握手 过 程 就 可 以 改变 或 伪造 一 台 主机 的 他 地 址 。 假设 主 机 X 与 A、B 不 在 同一 个 子 
网 内 ， 则 主机 X 不 能 检测 到 来 自 B 的 数据 包 ， 它 只 有 算出 B 的 序列 号 , 才能 与 之 创建 TCP 
连接 。 过 程 描述 如 下 : 
X 一 B: SYN (序列 号 =ISN1) ，SRC=A。 
B 一 A: SYN (序列 号 =ISN2) ，ACK (应 答 号 =ISN1+1) 。 
X 一 B: ACK (应 答 号 =ISN2+1) ，SRC=A。 
同时 主机 X 应 该 阻止 主机 A 响应 主机 B 的 数据 包 。 一 旦 主机 X 完成 了 以 上 操作 ， 它 
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就 可 以 向 主机 B 发 送 命令 。 主 机 B 误 认 为 命令 是 由 合法 主机 A 发 来 的 ， 将 执行 这 些 命令 ， 
从 而 在 X 和 也 之 间 建 立 起 正式 的 相互 连接 。 这样 ,入 侵 者 假扮 成 目标 系统 B 的 被 信任 主机 
A, 便 可 对 目标 系统 进行 随心 所 欲 的 攻击 , 例如 通过 远程 过 程 调用 RPC 的 形式 等 。 实 质 上 ， 
TCP 连接 欺骗 的 基础 是 卫 欺骗 。 防 范 TCP 连接 欺骗 的 方法 有 : 采用 地 址 信任 策略 、 加 强 
用 户 认证 、 关 闭 所 有 的 RPC 命令 等 。 

网 络 层 安全 机 制 的 主要 优点 是 其 透明 性 , 即 安全 服务 的 提供 不 要 求 应 用 层 做 任何 改动 。 
这 对 传输 层 来 说 是 做 不 到 的 。 原则 上 ,任何 TCP/P 应 用 只 要 应 用 传输 层 安全 协议 (如 SSL 
或 PCT)， 就 必定 要 进行 若干 修改 以 增加 相应 的 功能 ， 并 使 用 稍微 不 同 的 IPC 界面 。 可 见 ， 
传输 层 安 全 机 制 的 主要 缺点 就 是 要 对 传输 层 IPC 界面 和 应 用 程序 两 端 都 进行 修改 。 可 是 ， 
比 起 Internet 层 和 应 用 层 的 安全 机 制 来 ， 这 里 的 修改 还 是 相当 小 的 。 另 一 个 缺点 是 ， 基 于 
UDP 的 通信 很 难 在 传输 层 建 立 起 安全 机 制 。 同 网 络 层 安全 机 制 相 比 ， 传 输 层 安全 机 制 的 主 
要 优点 是 它 提供 基于 进程 对 进程 的 《而 不 是 主机 对 主机 的 ) 安全 服务 。 

4. 应 用 层 的 安全 性 

应 用 层 是 TCP/IP 的 最 高 层 ， 网 络 在 此 层 向 用 户 提供 各 种 服务 ,用户 则 调用 相应 的 程序 
并 通过 TCP/IP 网 络 来 访问 可 用 的 服务 ， 与 传输 层 协议 交互 的 应 用 程序 负责 接收 和 发 送 数 
据 。 在 这 一 层 中 有 许多 著名 协议 ， 例 如 文件 传输 协议 FTP、 超 文本 传输 协议 HTTP、 虚 拟 
终端 协议 Telnet、 简 单 邮 件 传送 协议 SMTP 以 及 域名 服务 协议 DNS 等 , 提供 的 服务 主要 有 
文件 传输 、 网 页 浏览 、 远 程 登录 、 电 子 邮 件 、 域 名 解析 等 。 

网 络 层 的 安全 协议 允许 为 主机 进程 ) 之 间 的 数据 通道 增加 安全 属性 ， 这 意味 着 真正 
的 数据 通道 还 是 建立 在 主机 (或 进程 ) 之 间 ， 但 却 不 可 能 区 分 在 同一 通道 上 传输 的 具体 文 
件 的 安全 性 要 求 。 例 如 ， 如 果 一 个 主机 与 另 一 个 主机 之 间 建 立 起 一 条 安全 的 他 通道 ， 那 么 
所 有 在 这 条 通道 上 传输 的 全 包 就 都 要 自动 地 被 加 密 。 同 样 ， 如 果 一 个 进程 和 另 一 个 进程 之 
间 通 过 传输 层 安 全 协议 建立 起 了 一 条 安全 的 数据 通道 ， 那 么 两 个 进程 间 传 输 的 所 有 消息 就 
都 要 自动 地 被 加 密 。 

如 果 确 实 想 要 区 分 具体 文件 的 不 同安 全 性 要 求 ， 那 就 必须 借助 于 应 用 层 的 安全 性 。 提 
供应 用 层 的 安全 服务 实际 上 是 最 灵活 的 处 理 单个 文件 安全 性 的 手段 。 例 如 ， 一 个 电子 邮件 
系统 可 能 需要 对 要 发 出 的 信件 的 个 别 段落 实施 数字 签名 。 较 低层 的 协议 提供 的 安全 功能 一 
般 不 会 知道 任何 要 发 出 的 信件 的 段落 结构 ， 也 就 不 可 能 知道 该 对 哪 一 部 分 进行 签名 。 只 
应 用 层 是 唯一 能 够 提供 这 种 安全 服务 的 层次 。 

例如 ，S-HTTP 是 Web 上 使 用 的 超 文本 传输 协议 HTTP 的 安全 增强 版 本 ， 它 提供 了 文 
件 级 的 安全 机 制 ， 因 此 每 个 文件 都 可 以 被 设 成 私人 /签字 状态 。 用 作 加 密 及 签名 的 算法 可 以 
由 参与 通信 的 收发 双方 协商 。S-HTTP 提供 了 对 多 种 单 向 散 列 〈Hash) 函数 的 支持 ， 例 如 
MD2、MD5 及 SHA; 对 多 种 单 钥 体制 的 支持 , 例如 DES、 三 元 DES、RC2、RC4 以 及 CDMEF; 
对 数字 签名 体制 的 支持 ， 例 如 RSA 和 DSS 。 

另 一 个 重要 的 应 用 是 电子 商务 。 为 使 Internet 上 的 信用 卡 交易 安全 起 见 ，MasterCard 
公司 同 IBM、Netscape、GTE 和 Cybercash 一 起 制定 了 安全 电子 付费 协议 SEPP，Visa 国际 
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公司 、 微 软 和 其 他 一 些 公司 一 起 制定 了 安全 交易 技术 STT 协议 。 同 时 ，MasterCard、Visa 
国际 和 微软 已 经 同意 联手 推出 Internet 上 的 安全 信用 卡 交易 服务 ,发布 了 相应 的 安全 电子 交 
易 SET 协议 ， 针 对 持 卡 人 用 其 信用 卡通 过 Internet 进行 付费 的 方法 作 了 具体 的 规定 。 这 套 
机 制 的 后 台 有 一 个 证 书 颁发 的 基础 结构 ， 提 供 对 X.509 证 书 的 支持 。 

例如 ， 当 主机 需要 将 一 个 域名 转换 为 IP 地 址 时 ， 它 会 向 某 DNS 服务 器 发 送 一 个 查询 
请 求 。 同 样 道 理 ， 将 IP 地 址 转换 为 域名 时 ， 可 发 送 一 个 反 向 查询 请 求 。 这 样 ， 一 旦 DNS 
服务 器 中 的 数据 被 修改 破坏 ，DNS 欺骗 就 会 产生 。 因 为 网 络 上 的 主机 都 信任 DNS 服务 器 ， 
所 以 一 个 被 破坏 的 DNS 服务 器 就 可 以 将 客户 引导 到 非法 的 服务 器 ， 从 而 使 某 个 卫 地 址 产 
生 卫 欺骗 。 防 范 方 法 有 : 直接 用 下 访问 重要 的 服务 ， 这 样 至 少 可 以 避 开 DNS 欺骗 攻击 。 
这 种 方式 比较 简单 , 但 在 有 的 时 候 却 是 不 现实 的 ; 在 主机 上 保留 一 个 域名 和 相应 卫 地 址 的 
数据 库 ， 至 少 要 保留 信任 主机 的 相关 信息 ; 同时 使 用 正 向 和 反 向 查询 (交叉 查询 的 方法 
来 杜绝 攻击 的 发 生 。 除 以 上 方案 之 外 ， 最 根本 的 解决 办 法 就 是 加 密 所 有 对 外 的 数据 流 ， 对 
服务 器 来 说 就 是 尽量 使 用 SSH 之 类 的 带 有 加 密 支 持 的 协议 ， 一 般 用 户 则 应 使 用 PGP 之 类 
的 软件 加 密 所 有 发 到 网 络 上 的 数据 。 


9.2 ”Web 站 点 安全 


Internet 及 Web 已 成 为 许多 人 日 常生 活 、 工 作 及 交流 的 一 种 重要 工具 。 由 于 Internet 是 
根据 一 定 的 共识 进行 自制 、 在 全 球 范围 内 实现 的 庞大 系统 ， 它 并 不 在 法 律 和 政治 范围 内 运 
行 。 对 于 Web 管理 员 来 说 , 感触 最 深 的 便 是 由 于 Internet 和 Web 技术 的 开放 性 和 多 层次 性 ， 
决定 了 Internet 和 Web 的 安全 需要 格外 的 关注 ， 确 保 Web 安全 不 是 件 容易 的 事 。 


9.2.1 Web 概述 


WWW (World Wide Web) 简称 Web， 也 称 为 “万 维 网 ” 是 一 个 在 Internet 上 运行 的 
分 布 式 的 信息 服务 系统 ， 是 一 个 大 规模 、 联 机 式 的 信息 储藏 所 。 它 由 遍布 全 世界 的 数 以 万 
计 的 Web 站 点 (也 称 网 站 ) 组 成 , 而 每 个 Web 站 点 都 是 由 一 组 精心 设计 制作 的 Web 页 (Web 
Page， 也 称 网 页 ， 采 用 HTTP 语言 制作 ) 组 成 ， 在 万 维 网 中 ， 可 以 通过 超 链接 非常 方便 地 
在 Internet 上 从 一 个 站 点 访问 另 一 个 站 点 ， 从 而 主动 地 按 需 要 获取 丰富 的 信息 。 

万 维 网 是 一 个 分 布 式 的 超 媒 体系 统 ， 是 超 文 本 系统 的 扩充 。 一 个 超 文本 系统 由 多 个 信 
息 源 (例如 网 页 ) 链接 而 成 ， 而 这 些 信息 源 的 数目 实际 上 是 不 受 限制 的 。 利 用 一 个 链接 可 
以 方便 地 找到 另 一 个 信息 源 ， 而 这 又 可 以 链接 到 其 他 的 信息 源 ( 依 此 类 推 )。 这些 信息 源 可 
以 位 于 世界 上 任何 一 个 接 在 Internet 上 的 超 文 本 系统 中 。 超 文本 是 WWW 的 技术 基础 。 

WWW 服务 采用 开放 式 的 客户 /服务 器 工作 模式 ， 其 基本 结构 分 成 服务 器 端 、 客 户 机 及 
通信 协议 3 个 部 分 。 信 息 资源 以 网 页 的 形式 存储 在 Web 服务 器 中 ， 用 户 查 询 信息 时 执行 一 
个 客户 端的 浏览 器 程序 ， 向 Web 服务 器 发 出 请 求 ，Web 服务 器 根据 客户 端的 请 求 内 容 ， 将 
保存 在 Web 服务 器 中 的 某 个 网 页 返回 给 客户 端 。 浏览 器 接收 到 页 面 后 对 其 进行 解释 ， 最 终 
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将 图 、 文 、 声 、 像 并 成 的 画面 呈现 给 用 户 。 
1. 服务 器 (Web 服务 器 ) 


服务 器 所 使 用 的 协议 中 规定 了 服务 器 的 传输 设 定 、 信 息 传输 格式 及 服务 器 本 身 的 基本 
开放 结构 。 这 些 驻 留 在 服务 器 上 的 软件 ， 负 责 管理 汇集 于 其 上 的 大 量 信息 ， 并 按 用 户 的 要 
求 返回 相应 信息 。 

2. 客户 机 (Web 浏览 器 ) 

客户 机 也 称 Web 浏览 器 ， 用 于 向 服务 器 发 送 资源 索取 请 求 ， 并 将 接收 到 的 信息 进行 解 
码 和 显示 。Web 浏览 器 是 客户 端 软件 ， 负 责 从 Web 服务 器 上 下 载 和 获取 文件 ， 翻 译 下 载 文 
件 中 的 HTML 代码 ， 进 行 格 式 化 ， 根 据 HTML 中 的 内 容 在 屏幕 上 显示 信息 。 如 果 文 件 中 
包含 图 像 以 及 其 他 格式 的 文件 (例如 声 频 、 视 频 、Flash 等 )，Web 浏览 器 会 作 相应 的 处 理 
或 依据 所 支持 的 插件 进行 必要 的 显示 。 

3. 通信 协议 CHTTP 协议 ) 

Web 浏览 器 与 服务 器 之 间 遵 循 HTTP 协议 进行 通信 传输 。 超 文本 传输 协议 HTTP 是 分 
布 式 的 Web 应 用 的 核心 技术 协议 ， 在 TCP/IP 协议 栈 中 属于 应 用 层 。 它 定义 了 Web 浏览 器 
向 Web 服务 器 发 送 索取 Web 页 面 请 求 的 格式 ， 以 及 Web 页 面 在 Internet 上 的 传输 方式 。 

Web 服务 器 通过 Web 浏览 器 与 用 户 交 互 操作 ， 相 互 间 采 用 HTTP 协议 进行 通信 (服务 
器 和 客户 端 都 必须 安装 HTTP 协议 )。Web 服务 器 也 称 为 HTTPd 服务 器 〈d 是 指 UNIX 系 
统 中 的 daemon)。 最 早 的 Web 服务 器 软件 是 在 UNIX 系统 上 发 展 起 来 的 ,有 CERN 和 NCSA 
两 种 类 型 。 现 在 占据 市 场 份额 最 大 的 是 Apache 服务 器 软件 ， 并 且 可 以 在 多 种 环境 下 运行 ， 
例如 UNIX、Linux、Solaris、Windows 等 。 在 Window 环境 下 ， 由 于 Microsoft 得 天 独 厚 的 
优势 ， 因 而 IIS 成 为 Windows NT 及 Windows 下 主要 的 服务 器 软件 。 

Web 浏览 器 软件 中 ，Netscape 的 Web 浏览 器 NN (Netscape Navigator)、NC (Netscape 
Communicator) 具有 最 广泛 的 系统 平台 支持 ， 可 以 在 所 有 平台 上 运行 ，Microsoft 的 正 

(Internet Explorer) 则 是 Windows 平台 上 运行 最 完美 的 浏览 器 软件 。 


9.2.2 Web 的 安全 需求 


Web 赖 以 生存 的 环境 包括 计算 机 硬件 、 操 作 系 统 、 计 算 机 网 络 、 许 多 的 网 络 服务 和 应 
用 ， 所 有 这 些 都 存在 着 安全 隐患 ， 最 终 威胁 到 Web 的 安全 。 

Web 的 安全 体系 结构 非常 复杂 ， 主 要 包括 以 下 几 个 方面 的 需求 : 

(1) 客户 端 软件 ( 即 Web 浏览 器 软件 ) 的 安全 。 

(2) 运行 浏览 器 的 计算 机 设备 及 其 操作 系统 的 安全 〈 即 主机 系统 安全 )。 

(3) 客户 端的 局 域 网 LAN 的 安全 。 

(4) Internet 的 安全 。 

(5) 服务 器 端的 局 域 网 LAN 的 安全 。 
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(6) 运行 服务 器 的 计算 机 设备 及 操作 系统 的 安全 〈 即 主机 系统 的 安全 )。 
(7) 服务 器 上 的 Web 服务 器 软件 的 安全 。 

对 于 Web 服务 的 安全 性 ， 一 定 要 考虑 到 所 有 这 些 方面 ， 因 为 它们 是 相互 联系 的 ， 每 个 
方面 都 会 影响 到 Web 服务 的 安全 性 ， 它 们 中 安全 性 最 差 的 决定 了 给 定 服务 的 安全 级 别 。 例 
如 ， 一 台 Web 服务 器 安装 在 一 台 主机 上 ， 并 使 用 该 主机 的 操作 系统 连接 到 Internet 上 。 即 
使 该 Web 服务 器 程序 的 安全 性 很 好 , 如 果 操 作 系统 上 存在 安全 漏洞 , 那么 Web 文档 也 不 会 
被 安全 地 保护 ， 入 侵 者 可 以 利用 操作 系统 的 漏洞 来 绕 过 或 攻破 该 Web 服务 器 的 保护 机 制 ， 
访问 Web 文档 。 

了 解 Web 的 安全 需求 是 实现 Web 安全 的 第 一 步 , 清楚 需要 保护 的 对 象 , 才能 有 的 放 矢 
地 采取 防范 措施 ， 实 现 Web 的 保护 。 

下 面 将 从 3 个 方面 分 析 Web 的 安全 需求 : 

@ ”Web 服务 器 的 安全 需求 。 

@ ”Web 浏览 器 的 安全 需求 。 

e@ ”Web 传输 过 程 中 的 安全 需求 。 

1. Web 服务 器 的 安全 需求 


随 着 开放 系统 的 发 展 和 Internet 的 知识 普及 , 获取 使 用 简单 、 功 能 强大 的 系统 安全 攻击 
工具 变 得 非常 容易 。 在 访问 Web 站 点 的 用 户 中 ， 不 少 技术 高 超 的 人 拥有 足够 的 经 验 和 工具 
来 探视 他 们 感 兴趣 的 东西 ， 而 普通 用 户 需要 的 则 是 真正 的 安全 系统 。 不 同 的 网 站 有 不 同 的 
安全 需求 。 一 般 而 言 ， 建 立 Web 站 点 是 为 了 更 好 地 提供 信息 和 服务 ， 其 安全 需求 主要 包括 
以 下 儿 个 方面 。 

(1) 维护 Web 信息 的 真实 性 和 完整 性 

这 是 Web 服务 器 最 基本 的 要 求 。Web 服务 器 在 一 定 程度 上 是 站 点 拥有 者 的 代言 人 ， 代 
表 拥 有 者 的 形象 。 通 过 Web 公布 的 信息 都 是 经 过 精心 挑选 和 组 织 的 ， 如 果 被 人 算 改 ,不 仅 
会 使 信息 遭 到 破坏 ， 无 法 实现 提供 信息 或 服务 的 初衷， 影响 正常 的 业务 ， 甚 至 会 误导 用 户 ， 
挑 起 用 户 和 站 点 拥有 者 之 间 的 矛盾 ， 严 重 损害 拥有 者 的 形象 和 声誉 。 因 此 必须 采取 适当 的 
保护 措施 ， 对 各 类 用 户 访问 Web 资源 的 权限 进行 严格 管理 。 

(2) 维持 Web 服务 的 可 用 性 

这 是 为 了 确保 Web 服务 的 有 效 性 。 一 方面 要 确保 用 户 能 够 获得 Web 服务 , 为 此 要 保证 
运行 Web 服务 的 设备 和 操作 系统 正常 运行 ，Web 服务 处 于 激活 状态 ， 同 时 要 采取 积极 主动 
的 预防 、 检 测 措施 ， 防 止 被 人 恶意 破坏 ， 造 成 设备 、 操 作 系统 停 运 或 服务 中 止 ， 另 一 方面 
要 确保 所 提供 的 服务 是 可 信 的 ， 尤 其 是 金融 或 电子 商务 站 点 ， 为 此 必须 提供 必要 的 相互 认 
证 手段 的 信息 保密 方法 ， 否 则 即使 Web 服务 随时 可 供 使 用 也 没 人 敢 用 ， 或 者 由 于 虚假 交易 
而 令 商 家 、 客 户 遭 受 损失 。 

(3) 保护 Web 访问 者 的 隐私 

保护 用 户 的 隐私 是 取信 于 用 户 的 前 提 。 通 常 Web 服务 器 会 对 每 次 连接 进行 日 志 记录 ， 
另外 有 些 站 点 的 服务 仅 提供 给 经 过 登记 的 用 户 ， 所 以 Web 服务 器 中 大 多 存 有 用 户 的 个 人 
信息 及 其 有 关 说 明 ， 例 如 用 户 的 瑟 地 址 、 电 子 邮件 地 址 、 所 使 用 计算 机 的 名 称 、 单 位 名 称 
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及 其 简要 说 明 、 所 访问 的 页 面 内 容 、 访 问 时 间 、 传 输 数 据 量 、 甚 至 个 人 信用 卡号 码 等 机 密 
信息 。 

站 点 可 以 把 这 些 信息 用 于 商业 目的 以 便 从 中 获 利 ， 或 用 于 宣传 站 点 ， 扩 大 影响 。 虽 然 
目前 没有 明确 的 法 律 条 文 禁止 这 样 做 ， 但 是 显然 这 种 做 法 不 太 符合 道德 规范 ， 相 信 大 多 数 
网 民 都 不 会 欢迎 突如其来 的 广告 或 其 他 陌生 邮件 ,除非 他 事先 主动 选择 了 这 一 服务 。 所 以 ， 
只 有 尊重 用 户 隐 私 并 采取 适当 保护 措施 的 网 站 才能 赢得 用 户 。 

(4) 确保 Web 服务 器 不 被 用 作 跳板 来 进一步 侵入 内 部 网 络 或 其 他 网 络 

首先 ，Web 服务 器 不 能 被 作为 “跳板 ”来 进一步 侵入 内 部 网 络 系统 ， 其 次 ， 要 保证 
Web 服务 器 不 被 用 作 “ 跳 板 ”来 进一步 危害 其 他 网 络 。 这 是 Web 服务 器 最 基本 的 要 求 ， 也 
是 服务 器 保护 自己 和 Web 浏览 器 用 户 的 最 基本 条 件 。 

2. Web 浏览 器 的 安全 需求 

Web 浏览 器 为 用 户 提 供 了 一 个 简单 、 实 用 而 且 功能 强大 的 图 形 化 界面 ， 使 得 用 户 能 够 
轻松 自如 地 在 网 络 的 海洋 里 冲浪 。 但 是 ,使 用 浏览 器 的 用 户 也 可 能 遇 到 一 系列 的 安全 问题 。 
当 用 户 点 击 鼠 标 ， 一 张 张 精 彩 的 网 页 出 现在 计算 机 屏幕 上 的 同时 ， 浏 览 器 程序 极 有 可 能 已 
经 把 某 些 信息 传送 给 网 络 上 的 某 一 台 计 算 机 (可 能 在 世界 的 某 一 个 角落 )， 浏 览 器 向 它 索取 
网 页 ， 网 页 通过 网 络 传 到 浏览 器 所 在 的 计算 机 中 。 返 回来 的 内 容 ， 有 的 是 浏览 器 用 户 需 要 
的 ， 能 够 看 到 的 ， 但 是 同时 还 有 浏览 器 不 能 显示 的 内 容 ， 悄 悄 地 存 入 浏览 器 所 在 计算 机 的 
人 磁盘。 这 些 不 显示 的 内 容 ， 可 能 是 协议 工作 内 容 ， 对 用 户 是 透明 的 ， 但 也 可 能 是 恶作剧 代 
人 码 ， 或 者 是 蓄意 破坏 的 代码 ， 它 们 会 窃取 Web 浏览 器 用 户 计 算 机 上 所 有 可 能 的 隐私 、 破 坏 
计算 机 设备 ， 甚 至 诱导 用 户 在 网 上 冲浪 时 误 入 歧途 。 因 此 ， 注 意 Web 浏览 器 的 安全 保障 也 
是 十 分 重要 的 。 

一 般 情况 下 ， 用 户 使 用 Web 浏览 器 获取 信息 时 ， 安 全 需求 有 以 下 儿 个 方面 。 

(1) 确保 运行 浏览 器 的 系统 不 被 病毒 或 者 其 他 恶意 程序 侵害 而 遭受 破坏 。 

(2) 确保 个 人 安全 信息 不 外 汇 。 

(3) 确保 所 交互 的 站 点 的 真实 性 ， 以 免 被 骗 ， 遭 受 损失 。 

3. Web 传输 过 程 中 的 安全 需求 

所 有 信息 要 想 交 换 ， 必 须 在 网 络 上 进行 传输 ， 因 此 传输 的 过 程 也 就 成 为 Web 安全 至 关 
重要 的 一 个 环节 。Web 浏览 器 和 Web 服务 器 之 间 的 信息 交换 也 是 通过 网 络 传输 来 实现 的 ， 
所 以 Web 数据 传输 过 程 的 安全 性 直接 影响 着 Web 的 安全 。 因特网 上 传输 的 信息 , 尤其 是 远 
程 用 户 向 Web 服务 器 传输 的 交易 信息 (例如 , 信用卡 信息 ) 如 被 非法 截获 ， 后 果 不 堪 设 想 。 
此 时 可 以 通过 数字 签名 技术 ， 使 消息 的 发 送 者 和 接收 者 在 交换 信息 时 都 承认 参加 了 信息 的 
交换 ， 当 接收 者 知道 发 送 者 签署 了 交易 合同 时 ， 应 当 确 信 该 交易 是 可 靠 的 。 此 外 ， 对 在 因 
特 网 上 传送 的 信息 必须 加 密 ， 以 防止 他 人 偷 看 ， 并 确保 信息 不 会 被 改变 ， 直 到 信息 到 达 目 
的 地 。 必 须 保 证 用 户 和 Web 服务 器 传送 的 信息 没有 被 泄露 或 算 改 ， 这 一 点 在 经 济 交 易 时 尤 
不 同 的 Web 应 用 对 于 传输 有 着 不 同 的 要 求 ， 但 一 般 都 包括 如 下 几 个 方面 。 
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(1) 保证 传输 方 所 发 信息 的 真实 性 : 要 求 所 传输 的 数据 包 必 须 是 发 送 方 发 出 的 ， 而 不 
是 他 人 伪造 的 。 

(2) 保证 传输 信息 的 完整 性 : 要 求 所 传输 的 数据 包 完 整 无 缺 ， 当 数据 包 被 删节 或 被 算 
改 时 ， 有 相应 的 检查 方法 。 

(3) 安全 性 较 高 的 Web 需要 保证 传输 的 保密 性 ， 敏感 信息 必须 采用 加 密 方式 传输 ， 
防止 被 截获 而 泄密 。 

(4) 认证 应 用 的 Web 需要 保证 信息 的 不 可 否认 性 : 对 于 那些 身份 认证 要 求 较 高 的 Web 
应 用 ， 必 须 有 识别 发 送信 息 是 否 为 发 送 方 所 发 的 方法 。 

(5) 对 于 防伪 要 求 较 高 的 Web 应 用 ， 要 保证 信息 的 不 可 重用 性 : 尽量 做 到 信息 即使 
被 中 途 截取 ， 也 无 法 被 再 次 使 用 。 


9.3 ”Web 电子 商务 安全 


电子 商务 (Electronic Commerce，EC) 包含 两 方面 内 容 : 一 是 电子 方式 ;二 是 商贸 活 
动 。 简 单 来 说 ， 电 子 商 务 指 的 就 是 利用 简单 、 快 捷 、 低 成 本 的 电子 通信 方式 ， 买 卖 双 方 不 
见面 地 进行 各 种 商贸 活动 。 

电子 商务 可 以 通过 多 种 电子 通信 方式 来 完成 。 简 单 的， 例如 通过 打 电 话 或 发 传真 的 方 
式 来 与 客户 进行 商贸 活动 ， 似 乎 也 可 以 称 为 电子 商务 ; 但 是 ， 现 在 人 们 所 探讨 的 电子 商务 
主要 是 通过 电子 数据 交换 EDI 和 Internet 来 完成 的 。 尤 其 是 随 着 Internet 技术 的 日 益 成 熟 ， 
电子 商务 真正 的 发 展 将 是 建立 在 Internet 技术 上 的 。 所 以 ， 也 有 人 把 电子 商务 简称 为 IC 
(Internet Commerce )。 

从 贸易 活动 的 角度 分 析 ， 电 子 商务 可 以 在 多 个 环节 实现 ， 由 此 也 可 以 将 电子 商务 分 为 
两 个 层次 。 较 低层 次 的 电子 商务 有 电子 商情 、 电 子 贸 易 、 电 子 合同 等 ， 最 完整 的 也 是 最 高 
级 的 电子 商务 应 该 是 能 够 利用 Internet 进行 全 部 的 贸易 活动 ， 即 在 网 上 将 信息 流 、 商 流 、 资 
金 流 和 部 分 的 物流 完整 地 实现 ， 也 就 是 说 ， 可 以 从 寻找 客户 开始 ， 一 直到 洽谈 、 订 货 、 在 
线 付 ( 收 ) 款 、 开 具 电 子 发 票 以 至 到 电子 报关 、 电 子 纳税 等 通过 Internet 一 气 呵 成 。Internet 
的 资源 共享 、 快 速 、 便捷 是 电子 商务 迅速 发 展 的 原因 ， 而 Internet 的 开放 性 却 使 电子 商务 在 
安全 方面 存在 着 先天 不 足 。 目 前 ， 电 子 商 务 安全 问题 变 得 越 来 越 突 出 ， 已 经 成 为 制约 电子 
商务 快速 发 展 的 障碍 。 


9.3.1 电子 商务 的 安全 要 求 


电子 商务 所 面临 的 威胁 的 出 现 导致 了 对 电子 商务 安全 的 需求 ， 也 是 真正 实现 一 个 安全 
电子 商务 系统 所 要 求 做 到 的 各 个 方面 ， 主 要 包括 机 密 性 、 完 整 性 、 认 证 性 和 不 可 抵赖 性 。 

1. 真实 性 

真实 性 是 指 网 上 交易 双方 身份 及 交易 信息 要 真实 有 效 。 双 方 交换 信息 之 前 要 通过 数字 
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签名 、 身 份 认证 及 数字 证 书 等 辨别 参与 者 身份 的 真 伪 ， 防 止 伪装 攻击 。 交 易 时 ， 对 提供 的 
交易 信息 也 要 保证 其 真实 性 ， 防 止 欺骗 交易 行为 。 

2. 机 密 性 

电子 商务 作为 贸易 的 一 种 手段 ， 其 信息 直接 代表 着 个 人 、 企 业 或 国家 的 商业 机 密 。 传 统 
的 纸 面 贸易 都 是 通过 邮寄 封装 的 信件 或 通过 可 靠 的 通信 渠道 发 送 商 业 报 文 来 达到 保守 机 密 
的 目的 。 电子 商 务 是 建立 在 一 个 较为 开放 的 网 络 环境 上 的 (尤其 Internet 是 更 为 开放 的 网 络 )， 
维护 商业 机 密 是 电子 商务 全 面 推 广 应 用 的 重要 保障 。 因 此 ， 要 预防 非法 的 信息 存 取 和 信息 
在 传输 过 程 中 被 非法 窃取 ,机密 性 一 般 通 过 密码 技术 来 对 传输 的 信息 进行 加 密 处 理 来 实现 。 

3. 完整 性 

电子 商务 简化 了 贸易 过 程 ， 减 少 了 人 为 的 干预 ， 但 同时 也 带 来 了 维护 贸易 各 方 商业 信 
息 的 完整 、 统 一 的 问题 。 由 于 数据 输入 时 的 意外 差错 或 欺诈 行为 ， 可 能 导致 贸易 各 方 信息 
的 差异 。 此 外 ， 数 据 传输 过 程 中 信息 的 丢失 、 信 息 重 复 或 信息 传送 的 次 序 差异 也 会 导致 贸 
易 各 方 信息 的 不 同 。 贸 易 各 方 信息 的 完整 性 将 影响 到 贸易 各 方 的 交易 和 经 营 策略 ， 保 持 贸 
易 各 方 信息 的 完整 性 是 电子 商务 应 用 的 基础 。 因 此 ， 要 预防 对 信息 的 随意 生成 、 修 改 和 删 
除 ， 同 时 要 防止 数据 传输 过 程 中 信息 的 丢失 和 重复 并 保证 信息 传送 次 序 的 统一 。 完 整 性 一 
般 可 通过 提取 信息 摘要 的 方式 来 获得 。 

4. 不 可 否认 性 

电子 商务 可 能 直接 关系 到 贸易 双方 的 商业 交易 ， 如 何 确定 要 进行 交易 的 贸易 方正 是 进 
行 交 易 所 期 望 的 贸易 方 这 一 问题 则 是 保证 电子 商务 顺利 进行 的 关键 。 在 传统 的 纸 面 贸易 中 ， 
贸易 双方 通过 在 交易 合同 、 契 约 或 贸易 单据 等 书面 文件 上 手写 签名 或 印章 来 鉴别 贸易 伙伴 ， 
确定 合同 、 契 约 、 单 据 的 可 靠 性 并 预防 抵赖 行为 的 发 生 。 在 无 纸 化 的 电子 商务 方式 下 ， 通 
过 手写 签名 和 印章 进行 贸易 方 的 鉴别 已 是 不 可 能 的 。 因 此 ， 要 在 交易 信息 的 传输 过 程 中 为 
参与 交易 的 个 人 、 企 业 或 国家 提供 可 靠 的 标识 。 不 可 和 否认 性 可 通过 对 发 送 的 消息 进行 数字 
签名 来 获取 。 

5. 有效 性 

电子 商务 以 电子 形式 取代 了 纸张 ， 那 么 如 何 保证 这 种 电子 形式 的 贸易 信息 的 有 效 性 则 
是 开展 电子 商务 的 前 提 。 电 子 商 务 作 为 贸易 的 一 种 形式 ， 其 信息 的 有 效 性 将 直接 关系 到 个 
人 、 企 业 或 国家 的 经 济 利益 和 声誉 。 因 此 ， 要 对 网 络 故 障 、 操 作 错 误 、 应 用 程序 错误 、 硬 
件 故障 、 系 统 软件 错误 及 计算 机 病毒 所 产生 的 潜在 威胁 加 以 控制 和 预防 ， 以 保证 贸易 数据 
在 确定 的 时 刻 、 确 定 的 地 点 是 有 效 的 。 


9.3.2 ”安全 电子 商务 的 体系 结构 


电子 商务 的 安全 体系 结构 是 保证 电子 商务 信息 安全 的 基础 。 它 由 5 个 部 分 组 成 ， 具 体 
如 图 9-2 所 示 。 


“my 
第 9 章 Internet 安全 、VPN 和 IPSec 和 ) 


有 
电子 商务 安全 需求 否 | 答 
性 
商务 系统 层 各 种 电子 商务 应 用 系统 
交易 协议 层 NetBil、SET、SSL、 


安全 认证 层 才 数字 摘要 、PKI、 数 字 签 名 、 数 字 凭 证、CA 认 证 …… 
加 密 技 术 层 
网 络 服务 层 ”| 网 络 隐患 扫描 、 网 络 安全 监控 、 内 容 识别 、 访 问 控制 、 防 火 墙 …… 


图 9-2 安全 电子 商务 体系 结构 
1.， 网 络 服务 层 


电子 商务 系统 是 依赖 网 络 实现 的 商务 系统 。 网 络 服务 层 是 电子 商务 系统 基本 的 网 络 服 
务 平台 ， 其 中 包括 网 络 隐患 扫描 、 网 络 安全 监控 、 内 容 识 别 、 防 火 墙 、 用 户 接 口 和 访问 控 
制 等 模块 。 其 功用 是 加 强 网 络 之 间 的 访问 控制 ， 提 供 安全 通信 服务 平台 ， 防 止 非法 用 户 以 
非法 手段 进入 内 部 网 络 ， 非 法 扫描 、 访 问 内 部 网 络 资源 。 

2. 加 密 技术 层 

加 密 技术 层 主要 提供 对 称 加 密 和 非 对 称 加 密 服 务 ， 保 证 商务 信息 的 机 密 性 、 真 实 性 。 
其 原理 是 ， 将 被 传输 的 商务 信息 ( 称 为 明文 ) 变 换 成 难以 识别 和 理解 的 密 文 ， 再 传输 ， 同 
时 在 接收 方 进行 相应 的 逆 变换 〈 称 为 解密 ) ， 从 密 文 中 还 原 出 明文 ， 以 供 本 地 的 信息 处 理 
系统 使 用 。 商 务 信 息 的 安全 性 依赖 于 使 用 的 算法 和 密 钥 的 长 度 。 

除了 数据 加 密 技 术 ， 常 见 的 还 有 对 通信 线路 加 密 的 链 路 加 密 技 术 和 对 存储 在 节点 内 的 
文件 、 数 据 库 信息 进行 加 密 保护 的 节点 加 密 技 术 等 。 

3. 安全 认证 层 

在 安全 认证 层 ， 主 要 是 通过 数字 摘要 、 数 字 签 名 、 数 字 证 书 和 CA 认证 等 技术 去 验证 
商务 信息 和 商务 对 象 的 真实 性 和 不 可 否认 性 。 

数字 签名 基于 非 对 称 加 密 技术 ， 将 数字 摘要 (MAC) 用 发 送 者 的 私 钥 加 密 ， 与 原文 一 
起 传送 给 接收 者 ， 接 收 者 只 有 用 发 送 者 的 公 钥 才能 解 开 被 加 密 的 数字 摘要 。 数 字 签 名 技术 
主要 应 用 于 电子 商务 安全 服务 中 的 源 鉴 别 、 完 整 性 服务 和 不 可 和 否认 服务 。 

数字 证 书 又 称 数 字 赁 证， 是 用 来 证 实用 户 的 身份 、 对 网 络 资源 的 访问 权限 等 的 电子 手 
段 ， 包 含 着 标识 证 书 持 有 者 身份 的 有 关 信息 。 数 字 证 书 的 内 容 格式 由 CCITT X.509 国际 标 
准 规定 ， 通 常 包括 证 书 所 有 者 的 姓名 、 证 书 所 有 者 的 公共 密 钥 、 证 书 的 有 效 期 、 颁 发 数字 
证 书 的 单位 名 称 、 数 字 证 书 的 序列 号 及 颁发 数字 证 书 单位 的 数字 签名 等 内 容 。 

电子 商务 认证 中 心 CA, 具有 网 上 安全 电子 交易 认证 服务 、 签 发 数字 证 书 并 确认 用 户 身 
份 的 功能 ， 负 责 数字 证 书 的 申请 、 发 放 和 管理 ， 具 有 证 书 发 放 、 证 书 更 换 、 证 书 撤销 、 证 
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书 验 证 四 大 职能 。 

4. 交易 协议 层 

交易 协议 层 提供 了 电子 商务 封装 数据 的 公平 交换 服务 。 目前 比较 成 熟 的 协议 有 Netbil、 
SET、SSL、Cybercash、JEPI、Netcash 等 。 不 同 交易 协议 的 复杂 性 、 开 销 和 安全 性 各 不 相 
同 ， 不 同 的 应 用 环境 对 协议 的 目标 要 求 也 不 尽 相 同 。 

安全 套 接 层 SSL 协议 是 目前 使 用 最 广泛 的 电子 商务 协议 。 该 协议 由 Netscape 公司 研制 
开发 ,向 基于 TCP/IP 的 客户 端 和 服务 器 应 用 程序 提供 了 客户 端 和 服务 器 的 鉴别 、 数 据 完整 
性 及 信息 保密 性 等 安全 措施 。 该 协议 通过 在 应 用 程序 进行 数据 交换 前 先 交 换 SSL 初始 握手 
信息 来 实现 有 关 安 全 特性 的 审查 ， 从 而 确保 其 机 密 性 与 数据 的 完整 性 。 该 协议 已 成 为 事实 
上 的 工业 标准 。 

安全 电子 交易 协议 SET 是 一 个 能 保证 通过 开放 网 络 进行 安全 资金 支付 的 技术 标准 ， 向 
基于 信用 卡 进 行 电子 化 交易 的 应 用 提供 了 实现 安全 措施 的 规则 。 它 包含 了 信用 卡 在 电子 商 
务 中 的 交易 协议 、 信 息 保 密 、 资 料 完整 及 数字 认证 、 数 字 签名 等 ， 验 证 商家 和 持 卡 者 ， 保 
证 信息 的 保密 性 、 支 付 的 完整 性 。SET 协议 要 达到 5 个 目标 : 保证 电子 商务 参与 者 信息 的 
相应 隔离 ， 保 证 信息 在 互联 网 上 安全 传输 ， 防 止 数据 被 黑客 或 被 内 部 人 员 窃 取 ， 解决 多 方 
认证 问题 ; 保证 网 上 交易 的 实时 性 ， 使 所 有 的 支付 过 程 都 是 在 线 的 ; 规范 协议 和 消息 格式 ， 
促使 不 同 厂家 开发 的 软件 具有 兼容 性 与 交互 操作 功能 ， 并 且 可 以 运行 在 不 同 的 硬件 和 操作 
系统 平台 上 。 

5， 商务 系统 层 


商务 系统 层 主要 是 提供 商业 解决 方案 ， 例 如 B2B、B2C 等 各 种 电子 商务 应 用 系统 。 商 
务 系统 层 在 整个 体系 结构 中 处 于 最 上 层 ， 其 功用 是 根据 电子 交易 要 求 ， 为 客户 提供 全 新 的 功 
能 , 包括 内 容 管 理 、 市 场 推广 、 订 购 管理 、 支 付 管理 等 ,实现 全 方位 商务 活动 的 数字 自动 化 。 

电子 商务 作为 全 球 商务 发 展 的 趋势 ， 给 全 球 的 经 济 、 政 治 和 法 律 带 来 了 深刻 的 影响 。 
随 着 电子 商务 的 发 展 、 电 子 交 易手 段 的 多 样 化 ， 安 全 问题 将 会 变 得 更 加 重要 和 突出 。 开 展 
电子 商务 安全 问题 的 进一步 研究 ， 开 发 我 国 自己 的 网 络 安全 产品 ， 对 保障 我 国电 子 商 务 的 
正常 发 展 不 仅 具有 重要 的 理论 价值 ， 而 且 具 有 更 为 重要 的 现实 意义 。 


9.3.3 电子 商务 中 的 主要 安全 协议 


从 电子 商务 的 安全 体系 结构 中 可 以 看 出 ， 在 其 交易 协议 层 中 应 用 了 较 多 的 安全 协议 ， 
这 里 主要 介绍 常用 的 SSL 和 SET 两 种 安全 交易 协议 。 
1. 安全 套 接 层 SSL 和 传输 层 安全 TLS 协议 


1) SSL 简介 

安全 套 接 层 (Secure Socket Layer，SSL) 协议 是 一 种 开放 性 协议 ， 提 供 了 一 种 介 于 应 
用 层 和 传输 层 之 间 的 数据 安全 套 接 层 协 议 机 制 。 它 为 TCP/IP 连接 提供 了 数据 加 密 、 服 务 器 
认证 、 消 息 完整 性 ， 以 及 可 选 的 客户 机 认证 。SSL 是 在 Internet 基础 上 提供 的 一 种 保证 私密 
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性 的 安全 协议 ， 可 使 客户 机 /服务 器 应 用 之 间 的 通信 不 被 攻击 者 窍 听 ， 并 且 始 终 对 服务 器 进 
行 认证 , 还 可 选择 对 客户 机 进行 认证 。SSL 协议 要 求 建立 在 可 靠 的 传输 层 协议 (例如 , TCP) 
之 上 ， 其 优势 在 于 它 是 与 应 用 层 协议 独立 无 关 的 ， 应 用 层 协 议 ( 例 如 ,，HTTP、FTP、Telnet 
等 ) 能 透明 地 建立 于 SSL 协议 之 上 。SSL 协议 在 应 用 层 协 议 通信 之 前 就 已 经 完成 加 密 算法 、 
通信 密 钥 的 协商 ， 以 及 服务 器 认证 工作 。 在 此 之 后 ， 应 用 层 协 议 所 传送 的 数据 都 会 被 加 密 ， 
从 而 保证 通信 的 私密 性 。 

SSL 协议 提供 的 安全 信道 具有 以 下 3 个 特性 : 

@ 私密 性 : 在 握手 协议 定义 了 会 话 密 钥 后 ， 所 有 的 消息 都 被 加 密 。 

@ 确认 性 : 尽管 会 话 的 客户 端 认 证 是 可 选 的 ， 但 是 服务 器 端 始终 是 被 认证 的 。 

@ 可 靠 性 : 传送 的 消息 包括 消息 完整 性 检查 (使 用 MAC)。 

2) SSL 的 结构 

SSL 的 设计 目标 是 在 TCP 基础 上 提供 一 种 可 靠 的 端 到 端 安全 服务 ,其 服务 对 象 一 般 是 
Web 应 用 。 在 SSL 的 体系 结构 中 包含 两 个 协议 子 层 ， 其 中 底层 是 SSL 记录 协议 层 (SSL 
Record Protocol Layer); 高 层 是 SSL 握手 协议 层 (SSL Handshake Protocol Layer)。SSL 的 
协议 栈 如 图 9-3 所 示 。 


握手 密码 参数 修改 报警 | 应 用 数据 (HTTP) 
SSL 记 录 协 议 
TCP 
IP 


图 9-3 SSL 的 协议 栈 
(1) SSL 记录 协议 

在 SSL 协议 中 ， 所 有 的 传输 数据 都 被 封装 在 记录 中 。 记 录 是 由 记录 头 和 长 度 不 为 0 的 
记录 数据 组 成 的 。 所 有 的 SSL 通信 和 包括 握手 消息 、 安 全 空白 记录 和 应 用 数据 都 要 使 用 SSL 
记录 协议 层 。SSL 记录 协议 包括 了 记录 头 和 记录 数据 格式 的 规定 。 

@ SSL 记录 头 格式 

SSL 的 记录 头 可 以 是 2 个 或 3 个 字 节 长 的 编码 。SSL 记录 头 中 包含 记录 头 的 长 度 、 记 
录 数 据 的 长 度 、 记 录 数 据 中 是 否 有 粘贴 数据 等 信息 。 其 中 粘贴 数据 是 用 来 在 使 用 块 加 密 算 
法 时 ， 填 充实 际 数据 ， 使 其 长 度 恰好 是 块 的 整数 倍 。 最 高 位 为 1 时 ， 不 含有 粘贴 数据 ， 记 
录 头 的 长 度 为 2 个 字 节 ， 记 录 数 据 的 最 大 长 度 为 32767 个 字 节 ; 最 高 位 为 0 时 ， 含 有 粘贴 
数据 ， 记 录 头 的 长 度 为 3 个 字 节 ， 记 录 数 据 的 最 大 长 度 为 16383 个 字 节 。 

当 数 据 头 长 度 是 3 个 字 节 时 ， 次 高 位 有 特殊 的 含义 。 次 高 位 为 1 时 ， 标 识 所 传输 的 记 
录 是 普通 的 数据 记录 ; 次 高 位 为 0 时， 标识 所 传输 的 记录 是 安全 空白 记录 (被 保留 用 于 将 
来 协议 的 扩展 )。 

@ SSL 记录 数据 格式 

SSL 的 记录 数据 包含 3 个 部 分 :MAC 数据、 实际 数据 和 粘贴 数据 。 

MAC 数据 用 于 数据 完整 性 检查 。 计算 MAC 所 用 的 散 列 函数 由 握手 协议 中 的 CIPHER- 
CHOICE 消息 确定 。 若 使 用 MD2 和 MD5 算法 ， 则 MAC 数据 长 度 是 16 个 字 节 。 当 会 话 的 


多 计算 机 网 络 安全 技术 与 应 用 


客户 端 发 送 数据 时 ， 密 钥 是 客户 的 写 密 钥 ( 服 务 器 用 读 密 钥 来 验证 MAC 数据 ); i 
的 客户 端 接收 数据 时 ， 密 钥 是 客户 的 读 密 钥 (服务器 用 写 密 钥 来 产生 MAC 数据 )。 序 号 
一 个 可 以 被 发 送 和 接收 双方 递增 的 计数 器 ， 每 个 通信 方向 都 会 建立 一 对 计数 器 ， 分 别 被 
送 者 和 接收 者 拥有 。 计 数 器 有 32 位 , 计数 值 循环 使 用 , 每 发 送 一 个 记录 , 计数 值 递增 一 次 ， 
序号 的 初始 值 为 0。 

(2) SSL 握手 协议 

SSL 握手 协议 层 包 括 SSL 握手 协议 (SSL Handshake Protocol)、SSL 密码 参数 修改 协 
议 (SSL Change Cipher Spec Protocol)、 应 用 数据 协议 (Application Data Protocol) 和 SSL 
报警 协议 “SSL Alert Protocol)。 握 手 协议 层 的 这 些 协议 用 于 SSL 管理 信息 的 交换 ， 人 允许 应 
用 协议 传送 数据 之 前 相互 验证 ， 协 商 加 密 算 法 和 生成 密 钥 等 。 

SSL 握手 协议 包含 两 个 阶段 ， 第 一 个 阶段 用 于 建立 私密 性 通信 信道 ， 第 二 个 阶段 用 于 
客户 认证 。 

第 一 阶段 是 通信 的 初始 化 阶段 ,通信 双方 都 发 出 HELLO 消息 。 当 双方 都 接收 到 HELLO 
消息 时 ， 就 有 足够 的 信息 确定 是 否 需 要 一 个 新 的 密 钥 。 若 不 需要 新 的 密 钥 ， 双 方 将 立即 进 
入 握手 协议 的 第 二 阶段 ， 否 则 ， 服 务 器 端的 SERVER-HELLO 消息 将 包含 足够 的 信息 〈 包 
括 服务 器 所 持 有 的 证 书 、 加 密 规约 和 连接 标识 ) 人 人 个 新 的 密 钥 。 若 密 钥 产生 
成 功 ， 客 户 端 发 出 CLIENTMASTER-KEY 消息 ， 否 则 发 出 错误 消息 。 当 密 钥 确 定 以 后 ， 
服务 器 端 将 向 客户 端 发 出 SERVER-VERIFY 消息 。 只 有 拥有 合 * 适 公 钥 的 服务 器 才能 解 开 密 
钥 。 第 一 阶段 的 流程 如 图 9-4 所 示 。 


等 待 CLIENT-HELLO 消 息 


发 出 SERVER-HELLO 消 息 


发 出 CLIENT-HELLO 消 息 


等 待 SERVER-HELLO 消 息 


| 产生 新 密 角 | | 等 待 CLIENTMASTER KEY 消 息 ] 
J J 
发 出 CLIENT-MASTER-KEY 消 息 | | 二 
i 息 | En VERIFY 消 息 
第 = 了 和 


图 9-4 ”SSL 握手 协议 第 一 阶段 的 流程 
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需要 注意 的 是 ， 每 一 个 通信 方向 上 都 需要 一 对 密 铀 ， 所 以 一 个 连接 需要 4 个 密 钥 ， 分 
别 为 客户 端的 读 密 钥 、 客 户 端的 写 密 钥 、 服 务 器 端的 读 密 钥 、 服 务 器 端的 写 密 钥 。 

第 二 阶段 的 主要 任务 是 对 客户 端 进行 认证 。 此 时 服务 器 已 经 被 认证 了 ， 它 将 向 客户 端 
发 出 认证 请 求 消息 REQUESTCERTIFICATE。 当 客户 端 收 到 服务 器 端的 认证 请 求 消息 时 ， 
将 发 出 自己 的 证 书 ， 并 且 监 听 对 方 回 送 的 认证 结果 。 而 当 服 务 器 收 到 客户 端的 认证 后 ， 认 
证 成 功 返 回 SERVER-FINISH 消息 ， 否 则 返回 错误 消息 。 

3) SSL 的 安全 功能 

(1) SSL 安全 概述 

SSL 是 一 种 用 于 Web 的 安全 通信 标准 ， 可 以 把 它 理解 成 分 层 体系 结构 中 的 一 层 ， 位 于 
应 用 层 和 传输 层 之 间 ， 负 责 建 立 用 户 与 服务 器 之 间 的 加 密 通信 ， 确 保 信 息 传递 的 安全 性 。 
数据 经 过 它 流 出 的 时 候 被 加 密 ， 再 往 TCP/IP 传送 ， 而 从 TCP/P 流入 之 后 ， 数 据 也 要 先进 
入 这 一 层 被 解密 。 同 时 ， 它 还 能 验证 网 络 连 接 两 端的 身份 。SSL 可 以 对 各 种 应 用 数据 进行 
加 密 ， 例 如 HTTP、POP、FTP 等 。SSL 提供 的 安全 机 制 可 以 保证 应 用 层 数据 在 传输 时 不 被 
监听 、 伪 造 和 算 改 。 

SSL 工作 在 公 铀 和 私 钥 基础 上 ， 任 何 用 户 都 可 以 获得 公 钥 来 加 密 数 据 ， 但 解密 数据 必 
须要 通过 相应 的 私 钥 。 使 用 SSL 安全 机 制 时 ， 首 先 客户 端 与 服务 器 端 建立 连接 ， 服 务 器 端 
把 它 的 数字 证 书 与 公 钥 一 并 发 送 给 客户 端 ， 客 户 端 随机 生成 会 话 密 钥 ， 用 从 服务 器 得 到 的 
公 钥 对 会 话 密 钥 进 行 加 密 ， 并 把 会 话 密 钥 在 网 络 上 传递 给 服务 器 ， 而 会 话 密 钥 只 有 在 服务 
器 端 用 私 钥 才能 解密 。 这 样 ， 客 户 端 和 服务 器 端 就 建立 了 一 个 安全 通道 。 

Web 客户 机 通过 连接 到 一 个 支持 SSL 的 服务 器 ， 启 动 一 次 SSL 会 话 。 支 持 SSL 的 典 
型 Web 服务 器 在 一 个 与 标准 HTTP 请 求 〈 默 认为 端口 80) 不 同 的 端口 (默认 为 443) 上 接 
受 SSL 连接 请 求 。 当 客户 机 连接 到 这 个 端口 上 时 ， 它 将 启动 一 次 建立 SSL 会 话 的 握手 。 当 
握手 完成 之 后 ， 通 信 内 容 被 加 密 ， 并 且 执 行 消 息 完 整 性 检查 ， 从 而 得 知 SSL 会 话 过 期 。 在 
此 期 间 ， 握 手 必须 只 发 生 过 一 次 。 

SSL 协议 的 优点 是 它 提 供 了 连接 安全 性 ， 具 有 以 下 3 个 基本 属性 。 

@ 连接 的 私有 性 : 在 初始 握手 定义 了 一 个 会 话 密 钥 后 ， 使 用 会 话 密 钥 进 行 加 密 通信 。 
对 数据 的 加 密 采 用 了 对 称 加 密 技 术 ， 例 如 DES 和 RC4 等 。 

@ 连接 的 认证 性 : 通过 密码 技术 (例如 RSA 和 DSS) 来 验证 对 等 实体 的 身份 。 

@ 连接 的 可 靠 性 : 消息 传输 使 用 一 个 带 密 钥 的 消息 认证 码 MAC， 包 括 了 消息 完整 性 
检查 。 其 中 ，MAC 是 通过 把 密 钥 和 消息 一 起 经 安全 哈 希 函数 (如 SHA 和 MD5) 处 理 后 得 
到 的 。 

(2) SSL 中 使 用 的 加 密 技 术 

在 SSL 中 ， 分 别 采 用 了 对 称 密码 、 公 和 钥 密码 和 公 钥 密码 中 的 数字 签名 技术 。 公 钥 密 码 
技术 用 于 初始 化 SSL 连接 ， 对 称 密码 技术 用 于 SSL 连接 后 的 安全 通信 。 

使 用 SSL 的 Web 服务 器 持 有 私 钥 和 带 有 公 钥 信息 的 证 书 . 当 Web 浏览 器 请 求 获取 Web 
服务 器 上 的 服务 时 ， 一 个 初始 化 SSL 连接 的 过 程 便 开始 了 。 这 个 初始 化 过 程 如 下 : 

@ 客户 端 使 用 HTTP 协议 向 Web 服务 器 发 出 对 某 个 页 面 的 请 求 。 

@ Web 服务 器 把 含有 服务 器 公 钥 的 证 书 发 送 给 客户 端 。 
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图 客户 端 进行 一 系列 的 检查 ， 包 括 证 书 是 否 过 期 ; 签发 此 证 书 的 安全 认证 中 心 CA 是 
和 否 存在 于 浏览 器 的 可 信任 CA 列表 中 ;Web 服 务 器 的 全 称 域名 FQDN( Fully Qualified Domain 
Name) 是 否 和 证 书 中 的 CN (Common Name) 匹配 。 

如 果 各 项 检查 都 通过 ，SSL 连接 的 初始 化 工作 就 完成 了 ，SSL 连接 被 建立 ， 否 则 SSL 
连接 失败 。 
提示 : 对 于 客户 端的 第 二 项 检查 ， 当 CA 不 在 信任 列表 中 时 也 可 以 建立 连接 ， 只 不 过 浏览 

器 会 提示 用 户 这 个 证 书 来 自 不 可 信任 的 机 构 ， 是 否 继续 等 ， 这 时 只 要 选择 “是 ” 即 
可 继续 此 过 程 。 

当 SSL 连接 建立 后 ， 使 用 对 称 密 钥 用 于 实际 的 数据 传输 ， 因 为 使 用 相同 的 密 钥 加 密 和 
解密 会 节省 系统 资源 。 这 个 密 钥 在 SSL 连接 初始 化 过 程 中 由 客户 端 指定 ， 并 通过 公 钥 密码 
技术 与 服务 器 端 协商 确定 。 

(3) 证 书 的 申请 和 签发 

从 上 面 的 SSL 工作 过 程 中 可 以 发 现 , 对 Web 系统 的 加 密 离 不 开 密 钥 对 的 产生 和 证 书 的 
签发 (由 CA 负责 完成 证 书 的 签发 )。 

公 / 私 密 钥 对 的 产生 有 两 种 方式 : 一 种 方式 是 由 用 户 在 自己 的 机 器 上 生成 密 钥 对 ， 用 户 
向 CA 申请 证 书 时 只 传递 公 钥 ， 私 钥 自己 保留 ， 因 此 安全 性 高 ， 男 一 种 方式 是 由 可 信任 的 
第 三 方 ， 即 CA 机 械 地 为 客户 生成 密 钥 对 。 

在 第 一 种 方式 中 ， 用 户 在 生成 密 钥 对 后 ， 可 以 花 钱 让 CA 签署 证 书 。 这 时 用 户 要 生成 
一 个 证 书 请 求 上 传 给 CA， 其 中 包括 密 钥 对 的 公 钥 部 分 ， 等 待 CA 的 签发 。 如 果 用 户 是 为 了 
测试 用 ， 可 以 自己 建立 CA 并 签发 证 书 。 

一 般 情 况 下 ，Web 应 用 中 的 数据 经 过 简单 的 由 上 到 下 的 几 次 封装 ， 就 进入 网 络 ， 如 果 
这 些 包 被 截获 的 话 ， 那 么 可 以 很 容易 地 根据 网 络 协议 得 到 里 面 的 数据 ， 包 括 登 录用 户 名 / 密 
码 等 信息 。 用 类 似 Sniffer 这 样 的 监听 工具 可 以 很 容易 地 做 到 这 一 点 。SSL 可 以 作为 对 策 之 
一 ， 帮 助 提高 Web 系统 的 安全 性 。 

4) SSL 与 TLS 

最 新 版 本 的 传输 层 安 全 协议 (Transport Layer Security, TLS) 是 Internet 工程 任务 组 IETF 
制定 的 一 种 新 协议 ， 建 立 在 SSL 3.0 协议 规范 之 上 , 是 SSL 3.0 的 后 续 版 本 。 在 TLS 与 SSL 
3.0 之 间 存 在 着 明显 的 差别 ， 主 要 是 它们 所 支持 的 加 密 算法 不 同 , 所 以 TLS 与 SSL 3.0 不 能 
互 操作 。 

(1) TLS 与 SSL 的 差异 

@ 版 本 号 : TLS 记录 格式 与 SSL 记录 格式 相同 ， 但 版 本 号 的 值 不 同 ，TLS 的 版 本 1.0 
使 用 的 版 本 号 为 SSL 3.1。 

@ 报 文 鉴别 码 : SSL 3.0 和 TLS 的 MAC 算法 及 MAC 计算 的 范围 不 同 。TLS 使 用 了 
RFC-2104 定义 的 HMAC 算法 ，SSL 3.0 使 用 了 相似 的 算法 ， 两 者 的 差别 在 于 SSL 3.0 中 填 
充 字 节 与 密 钥 之 间 采 用 的 是 连接 运算 ,而 HMAC 算法 采用 的 是 异 或 运算 ; 但 是 两 者 的 安全 
程度 是 相同 的 。 

图 伪 随 机 函数 : TLS 使 用 了 称 为 PRF 的 伪 随 机 函数 来 将 密 钥 扩 展 成 数据 块 ， 是 更 安 
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全 的 方式 。 


@ 报警 代码 : TLS 支持 几乎 所 有 的 SSL 3.0 报警 代码 , 而且 TLS 还 补充 定义 了 很 多 报 
警 代 码 ， 例 如 解密 失败 、 记 录 滋 出、 未 知 CA、 拒 绝 访问 等 。 

@ 密 文 族 和 客户 证 书 : SSL 3.0 和 TLS 存在 少量 差别 ， 即 TLS 不 支持 Fortezza 密 钥 交 
换 、 加 密 算法 和 客户 证 书 。 

@ CERTIFICATE VERIFY 和 FINISHED 消息 : SSL 3.0 和 TLS 在 用 CERTIFICATE 
VERIFY 和 FINISHED 消息 计算 MD5 和 SHA-1 散 列 码 时 ， 计 算 的 输入 有 少许 差别 ， 但 安 
全 性 相当 。 

@ 加 密 计算 : TLS 与 SSL 3.0 在 计算 主 密 值 (Master Secret) 时 采用 的 方式 不 同 。 

填充 ， 用户 数 据 加 密 之 前 ， 需 要 增加 的 填充 字 节 不 同 。 在 SSL 中 ， 填 充 后 的 数据 
长 度 要 达到 密 文 块 长 度 的 最 小 整数 倍 ; 而 在 TLS 中 ,填充 后 的 数据 长 度 可 以 是 密 文 块 长 度 
的 任意 整数 倍 〈 但 填充 的 最 大 长 度 为 255 字 节 )， 这 种 方式 可 以 防止 基于 对 报 文 长 度 进行 分 
析 的 攻击 。 

(2) TLS 的 主要 增强 内 容 

TLS 的 主要 目标 是 使 SSL 更 安全 ， 并 使 协议 的 规范 更 精确 和 完善 。TLS 在 SSL 3.0 的 
基础 上 ， 提 供 了 以 下 增强 内 容 。 

Q@ 更 安全 的 MAC 算法 。 

@ 更 严密 的 警报 。 

@@“ 灰 色 区 域 ” 规 范 的 更 明确 定义 。 

(3) TLS 对 于 安全 性 的 改进 

@ 对 于 消息 认证 使 用 密 钥 散 列 法 : TLS 使 用 消息 认证 代码 的 密 钥 散 列 法 HMAC， 当 
记录 在 开放 的 网 络 ( 例 如 因特网 ) 上 传送 时 ， 该 代码 确保 记录 不 会 被 变更 。SSL 3.0 提供 了 
键 控 消息 认证 ， 但 HMAC 比 SSL 3.0 使 用 的 消息 认证 代码 MAC 功能 更 安全 。 

@ 增强 的 伪 随 机 功能 PRF: PRF 生成 密 钥 数据 。 在 TLS 中 ，HMAC 定义 PRF。PRF 
使 用 两 种 散 列 算法 保证 其 安全 性 ， 如 果 任 一 算法 暴露 了 ， 只 要 第 二 种 算法 未 暴露 ， 则 数据 
仍然 是 安全 的 。 

@ 改进 的 已 完成 消息 验证 : TLS 和 SSL 3.0 都 对 两 个 端点 提供 已 完成 的 消息 ， 该 消息 
认证 交换 的 信息 没有 被 变更 。 然 而 ，TLS 将 此 已 完成 消息 基于 PRF 和 HMAC 值 之 上 ， 这 


也 比 SSL 3.0 更 安全 。 
@ 一 致 证书 处 理 : 与 SSL 3.0 不 同 ，TLS 试图 指定 必须 在 TLS 之 间 实 现 交 换 的 证 书 


@@ 特定 警报 消息 : TLS 提供 更 多 的 特定 和 附加 警报 ， 以 指示 任 一 会 话 端点 检测 到 的 问 
题 ， 同 时 还 对 何 时 应 该 发 送 某 些 警报 进行 记录 。 

2. 安全 电子 交易 协议 SET 

电子 商务 的 一 个 主要 特征 是 在 线 支 付 , 即 以 Internet 为 通信 手段 , 以 金融 电子 化 网 络 为 
基础 ， 以 各 类 交易 卡 为 媒介 ， 以 电子 数据 形式 存储 在 银行 的 计算 机 系统 中 ， 通 过 计算 机 网 
络 系统 以 电子 信息 的 传递 形式 ， 实 现 交 易 双 方 的 资金 转账 和 付款 。 
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为 了 保证 在 线 支付 的 安全 ， 需 要 采用 数据 加 密 和 安全 认证 技术 ， 以 便 营 造 一 个 可 信赖 
的 电子 交易 环境 。 尽 管 公开 密 钥 加 密 、 数 字 签名 、 电 子 信封 、 数 字 证 书 等 保证 系统 安全 的 
技术 手段 已 经 存在 ， 但 安全 问题 是 系统 性 的 问题 ， 并 非 把 这 些 手段 简单 地 结合 在 一 起 就 可 
得 到 安全 。 电 子 支付 系统 目前 尚 处 于 不 成 熟 阶段 且 种 类 较 多 ， 比 较 而 言 ，SET 协议 是 一 个 
交 完 善 的 通过 Internet 进行 安全 资金 支付 的 技术 标准 。 

安全 电子 交易 协议 〈Secure Electronic Transaction，SET) 是 一 个 通过 开放 网 络 (包括 
Internet) 进行 安全 资金 支付 的 技术 标准 ， 由 万 事 达 《〈MasterCard) 国际 组 织 和 维 萨 (Visa) 
国际 组 织 在 微软 公司 、 网 景 公 司 、IBM 公司 、GTE 公司 、SAIC 及 其 他 公司 的 支持 下 联合 
设计 的 安全 协议 。 起 初 ，MasterCard、 网 景 公司 和 IBM 一 起 开发 了 一 种 基于 加 密 套 接 字 协 
议 层 SSL 的 交易 安全 系统 ， 称 为 安全 加 密 结算 协议 SEPP; 而 它们 各 自 的 对 手 Visa 和 微软 
则 开发 了 另 一 种 标准 安全 交易 技术 STT 作为 反击 。 来 自 银行 业 的 压力 最 终 迫 使 这 两 方 开 展 
合作 ， 开 发 出 了 安全 电子 交易 SET 作为 共同 遵守 的 标准 。 

SET 本 身 不 是 一 个 支付 系统 ， 而 是 一 个 安全 协议 和 格式 的 集合 ， 使 得 用 户 可 以 以 一 种 
安全 的 方式 ， 将 已 经 存在 的 信用 卡 支付 基础 设施 配置 在 开放 网 络 上 ， 例 如 Internet。 

SET 的 目的 是 为 通过 互联 网 在 网 站 和 处 理 银行 之 间 传 输 结 算 卡 结算 信息 时 提供 安全 保 
障 ,虽然 安全 套 接 层 SSL 协议 保证 了 在 商家 和 消费 者 之 间 传 输 数据 和 其 他 敏感 信息 的 安全 ， 
但 它 不 能 验证 消费 者 是 否 是 结算 卡 的 持 有 人 。SET 标准 的 安全 程度 很 高 ， 它 结合 了 数据 加 
密 标 准 DES、RSA 算法 、 加 密 套 接 字 协议 层 SSL 和 安全 超 文本 传输 协议 S-HTTP， 为 每 一 
项 交易 都 提供 了 多 层 加 密 。SET 自 1997 年 5 月 由 MasterCard 和 Visa 两 大 信用 卡 组 织 联合 
推出 以 来 , 由 于 它 得 到 了 IBM、 HP、Microsoft、 Netscape、VeriFone、 GTE、 Terisa 和 VeriSign 
等 很 多 大 公司 的 支持 ， 已 成 为 事实 上 的 工业 标准 ， 目 前 已 获得 IETF 标准 的 认可 。 

(1) SET 的 体系 结构 

电子 商务 的 工作 流程 与 实际 的 购物 流程 非常 接近 ， 从 顾客 通过 浏览 器 进入 在 线 商店 开 
始 ， 一 直到 所 订购 的 物品 送 货 上 门 或 所 订 的 服务 完成 ， 以 及 账户 上 的 资金 转移 ， 所 有 这 些 
都 是 通过 公用 网 络 Internet 完成 的 如何 保证 网 上 传输 数据 的 安全 和 交易 双方 的 身份 确认 是 
电子 商务 能 否 得 到 推广 的 关键 ,也 正 是 SET 所 要 解决 的 最 主要 问题 ,下 面 就 是 一 种 基于 SET 
协议 的 电子 商务 系统 的 体系 结构 ， 如 图 9-5 所 示 。 


图 9-5 一 种 基于 SET 协议 的 电子 商务 系统 的 体系 结构 
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一 个 完整 的 SET 处 理 流程 中 的 各 个 参与 者 如 下 : 

e@ ”消费 者 :包括 个 人 消费 者 和 团体 消费 者 ， 按 照 在 线 商 店 的 要 求 填写 定货 单 ， 通 过 

由 发 卡 银行 发 行 的 信用 卡 进行 付款 。 

商家 : 提供 商品 或 服务 ， 具 备 相 应 电子 货币 使 用 的 条 件 。 

收 单 银 行 : 通过 支付 网 关 处 理 消 费 者 和 在 线 商店 之 间 的 交易 付款 问题 。 
发 卡 银行 : 电子 货币 〈 例 如 智能 卡 、 电 子 现金 、 信 用 卡 ) 的 发 行 公司 ， 以 及 某 些 
兼 有 电子 货币 发 行 的 银行 ， 负 责 处 理 电子 货币 的 审核 和 支付 工作 。 

@ 支付 网 关 : 银行 金融 系统 与 因特网 之 间 的 接口 ， 可 以 将 因特网 上 的 传输 数据 转换 
成 金融 机 构 内 部 的 数据 。 

@ ”认证 机 构 CA: 负责 对 交易 双方 的 身份 确认 , 对 厂商 的 信誉 度 和 消费 者 的 支付 手段 
进行 认证 。CA 在 整个 电子 商务 过 程 中 至 关 重 要 ， 是 开展 电子 商务 的 基础 。CA 具 
有 证 书 发 放 、 证 书 更 新 、 证 书 撤销 和 证 书 验证 功能 。 CA 证 书 可 分 为 : 持 卡 人 证 书 、 
商家 证 书 、 支 付 网 关 证 书 、 银 行 证 书 、 发 卡 机 构 证 书 。 它 通常 是 企业 性 服务 机 构 
受理 数字 证 书 的 申请 、 签 发 及 管理 。 

(2) 基于 SET 的 支付 流程 

下 面 是 一 个 完整 的 基于 SET 的 支付 流程 ， 如 图 9-6 所 示 。 


图 9-6 一 个 完整 的 基于 SET 的 支付 流程 


G@ 持 卡 者 向 商家 发 出 购买 初始 化 请 求 ， 包 含 持 卡 者 的 信息 和 数字 证 书 。 
@ 商家 接收 到 请 求 后 , 通过 CA 验证 持 卡 者 的 身份 ， 将 商家 和 支付 网 关 的 有 关 信 息 和 
证 书生 成 回复 消息 ， 发 给 持 卡 者 。 
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@ 持 卡 者 接收 到 消息 后 ， 通 过 CA 验证 商家 和 支付 网 关 的 身份 ; 然后 ， 持 卡 者 利用 自 
己 的 支付 信息 〈 包 括 账户 信息 ) 生成 购买 请 求 消息 ， 并 发 送 给 商家 。 

其 中 ， 持 卡 者 利用 加 密 技 术 ， 使 得 商家 只 能 读 购买 信息 ， 支 付 网 关 只 能 读 账户 信息 。 

@ 商家 接收 到 后 ,通过 解密 读 到 购买 信息 ， 连 同 自己 的 信息 及 持 卡 人 信息 ， 一 同 加 密 
生成 授权 请 求 消息 ， 发 给 支付 网 关 ， 请 求 支付 网 关 授权 该 交易 。 

@ 支付 网 关 接收 到 后 , 解密 取出 支付 信息 , 通过 银行 内 部 网 络 连接 收 单 银行 和 发 卡 银 
行 ， 对 该 交易 进行 授权 。 授 权 完成 后 ， 支 付 网 关 产生 授权 响应 消息 ， 发 给 商家 。 

@ 商家 接收 到 后 ， 定 期 向 支付 网 关 发 出 转账 请 求 消息 ， 请 求 进行 转账 。 

@ 支付 网 关 接收 到 后 , 通过 银行 内 部 网 络 连接 收音 银行 和 发 卡 银行 , 将 资金 从 持 - 
账户 转 到 商家 账户 中 ， 然 后 向 商家 发 出 消息 。 

@ 商家 接收 到 消息 后 ， 知 道 已 经 完成 转账 ， 然 后 产生 消息 ， 发 送 给 持 卡 者 。 

@ 持 卡 者 接收 到 消息 ， 知 道 该 交易 已 经 完成 。 

SET 协议 通过 数字 证 书 、CA 以 及 CA 的 树 形 验证 体系 结构 完成 认证 过 程 。 

(3) 基于 SET 协议 的 电子 支付 分 析 

SET 是 一 个 多 方 的 消息 报 文 协 议 ， 定 义 了 银行 、 商 家 、 持 卡 者 之 间 必需 的 报 文 规范 ， 
利用 公开 密 钥 加 密 、 数 字 签名 、 数 字 证 书 等 技术 ， 解 决 了 电子 商务 交易 中 消费 者 、 商 家 、 
银行 之 间 的 在 线 支付 ， 保 证 了 交易 的 机 密 性 、 信 息 完整 性 、 身 份 真实 性 及 不 可 否认 性 ， 保 
护 了 参与 各 方 的 利益 。 

@ 机 密 性 

SET 协议 采用 先进 的 公开 密 钥 算法 来 保证 传输 信息 的 机 密 性 ,以 避免 Internet 上 任何 无 
关 方 的 宇 探 。 公 开 密 钥 算法 容许 任何 人 使 用 公 钥 将 加 密 信息 发 送 给 指定 的 接收 者 ， 接 收 者 
收 到 密 文 后 ， 用 私 钥 对 该 信息 解密 ， 因 此 只 有 指定 的 接收 者 才能 读 取 该 信息 ， 从 而 保证 信 
息 的 机 密 性 。 

SET 协议 也 可 通过 双重 签名 的 方法 将 信用 卡 信息 直接 从 客户 方 通过 商家 发 送 到 商家 的 
开户 行 ， 而 不 容许 商家 访问 客户 的 账号 信息 ， 这 样 客户 在 消费 时 可 以 确信 其 信用 卡号 没有 
在 传输 过 程 中 被 窥探 ， 而 接收 SET 交易 的 商家 因为 没有 访问 信用 卡 信息 ， 故 免 去 了 在 其 数 
据 库 中 保存 信用 卡号 的 责任 。 

@ 数据 完整 性 

通过 SET 协议 发 送 的 所 有 报 文 加 密 后 ， 将 为 之 产生 一 个 唯一 的 报 文摘 要 值 ， 一 旦 有 
人 企图 自 改 报 文 中 包含 的 数据 ， 该 摘要 值 就 会 改变 ， 从 而 被 检测 到 ， 这 就 保证 了 信息 的 完 
整 性 。 

图 身份 验证 

SET 协议 可 使 用 各 方 共同 信任 的 CA 发 放 的 数字 证 书 来 确认 交易 涉及 的 各 方 ( 包 括 商 
家 、 持 卡 客户 、 授 卡 行 和 支付 网 关 ) 的 身份 ， 为 在 线 交易 提供 一 个 完整 的 可 信赖 的 环境 。 

@ 不 可 否认 性 

SET 交易 中 数字 证 书 的 发 布 过 程 也 包含 了 商家 和 客户 在 交易 中 存在 的 信息 。 因 此 ， 如 
果 客 户 用 SET 发 出 一 个 商品 的 订单 ， 在 收 到 货物 后 即 不 能 否认 发 出 过 这 个 订单 ， 商 家 以 后 
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也 不 能 否认 接 到 过 这 个 订单 。 


对 于 商家 而 言 ，SET 利用 RSA 及 数字 证 书 保证 了 持 卡 人 的 合法 性 和 不 可 和 否认 性 ， 为 商 
家 提供 保护 手段 ， 使 得 商家 免 受 欺诈 的 困扰 ， 对 于 消费 者 而 言 ，SET 保证 了 商家 不 会 窃取 
用 户 的 信用 卡号 ， 支 付 网 关 不 会 得 到 用 户 的 购买 请 求 ， 为 消费 者 保守 了 更 多 的 秘密 ， 从 而 
使 消费 者 在 线 购物 时 更 加 轻松 ， 对 于 银行 和 发 卡 机 构 以 及 各 种 信用 卡 组 织 ，SET 帮助 它们 
将 业务 扩展 到 Internet 这 个 广阔 的 空间 ， 从 而 减少 信用 卡 网 上 支付 的 欺骗 概率 , 这 使 得 它 比 
其 他 的 支付 方式 具有 更 大 的 竞争 优势 。SET 协议 比较 完善 和 严谨 ， 但 是 比较 复杂 ， 开 发 和 
使 用 比较 麻烦 ， 造 成 运行 速度 较 慢 。 

电子 支付 的 安全 问题 是 电子 商务 发 展 过 程 中 的 关键 问题 。SET 协议 位 于 应 用 层 ， 规 范 
了 整个 电子 商务 的 活动 流程 ， 能 够 在 银行 内 部 网 络 或 者 其 他 网 络 上 传输 ， 人 允许 各 方 之 间 的 
报 文 交换 不 是 实时 的 ， 从 信用 卡 持 卡 者 到 商家 、 支 付 网 关 、 认 证 中 心 及 信用 卡 结算 中 心 ， 
对 其 间 的 信息 流向 及 各 方 必须 参与 的 加 密 和 认证 都 制定 了 严格 的 标准 ， 从 而 最 大 限度 地 保 
证 了 电子 支付 交易 的 身份 真实 性 、 传 输 安 全 性 、 信 息 完整 性 及 不 可 否认 性 。 


9.3.4 电子 商务 系统 安全 案例 


由 于 Windows NT 系统 的 易 维护 性 ， 越 来 越 多 的 中 小 企业 在 自己 的 网 站 上 和 内 部 办 公 
管理 系统 上 采用 它 , 而 且 很 多 都 是 用 默认 的 IIS 来 做 Web 服务 器 使 用 。 但 威胁 Windows NT 
系统 的 有 些 漏洞 是 由 于 IIS 配置 不 当 造 成 的 ， 而 且 可 以 预见 ， 未 来 IIS 还 会 被 发 现 更 多 新 
的 漏洞 和 安全 问题 ， 但 只 要 我 们 做 好 合理 的 安全 配置 ， 还 是 可 以 避免 很 多 安全 隐患 的 。 下 
面 就 是 通过 SSL 加 密 HTTP 通道 来 加 强 IS 安全 ， 从 而 增强 Web 电子 商务 系统 安全 的 一 个 
实例 。 

1. 建立 SSL 安全 机 制 


IIS 的 身份 认证 除了 匿名 访问 、 基 本 验证 和 Windows NT 请 求 /响应 方式 外 , 还 有 一 种 安 

全 性 更 高 的 认证 , 就 是 通过 SSL 安全 机 制 使 用 数字 证 书 .SSL 位 于 HTTP 层 和 TCP 层 之 间 ， 
用 于 建立 用 户 与 服务 器 之 间 的 加 密 通 信 ， 确 保 所 传递 信息 的 安全 性 。SSL 是 工作 在 公 钥 和 
私 钥 基础 上 的 ， 任 何 用 户 都 可 以 获得 公 钥 来 加 密 数 据 ,但 解密 数据 必须 要 通过 相应 的 私 钥 。 
使 用 SSL 安全 机 制 时 ， 首 先 客户 端 与 服务 器 建立 连接 ， 服 务 器 把 它 的 数字 证 书 与 公 钥 
发 送 给 客户 端 ， 客 户 端 随机 生成 会 话 密 铀 ， 用 从 服务 器 得 到 的 公 钥 对 会 话 密 钥 进行 加 密 ， 
并 把 会 话 密 钥 在 网 络 上 传递 给 服务 器 ， 而 会 话 密 钥 只 有 在 服务 器 端 用 私 钥 才能 解密 ， 这 样 
客户 端 和 服务 器 端 就 建立 了 一 条 唯一 的 安全 通道 。 

建立 了 SSL 安全 机 制 后 , 只 有 SSL 允许 的 客户 才能 与 SSL 允许 的 Web 站 点 进行 通信 ， 
且 在 使 用 统一 资源 定位 符 URL 时 ， 输 入 “https://”， 而 不 是 “http://”。 

简单 地 说 ， 默 认 情况 下 我 们 所 使 用 的 HTTP 协议 是 没有 任何 加 密 措施 的 ， 所 有 的 消息 
全 部 都 是 以 明文 形式 在 网 络 上 传送 的 ， 恶 意 的 攻击 者 可 以 通过 安装 监听 程序 来 获得 我 们 和 
服务 器 之 间 的 通信 内 容 。 所 以 ， 全 面 加 密 整个 网 络 传输 通道 的 确 是 个 很 好 的 安全 措施 。 
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2. 为 Web 服务 器 配置 SSL 

要 在 IS 中 启用 SSL， 首 先 必须 获得 用 于 加 密 和 解密 通过 网 络 传输 的 信息 的 证 书 。IIS 
具有 自己 的 证 书 请 求 工具 ， 此 工具 简化 了 获取 证 书 的 过 程 ， 可 以 更 便捷 地 向 证 书 颁 发 机 构 
发 送 证 书 请 求 。 

在 IIS 中 , 收 到 来 自 证 书 颁发 机 构 的 证 书 文件 后 , 必须 将 其 配置 在 计算 机 上 , 在 IS 中 ， 
通过 网 站 或 文件 夹 属性 的 “目录 安全 性 ”选项 卡 来 配置 和 管理 证 书 。 

3. 配置 文件 夹 或 网 站 以 使 用 SSL/IHTTPS 


此 过 程 假定 用 户 的 站 点 已 经 具备 了 证 书 。 

(1) 以 管理 员 身 份 登录 到 Web 服务 器 。 

(2) 单 击 “ 开 始 ” 指向 “设置 ” 然后 单 击 “ 控 制 面板 ” 

(3) 双击 “管理 工具 ”， 然 后 双击 “Internet 服务 管理 器 ”。 

(4) 从 左 窗 格 中 的 不 同 服务 站 点 列表 中 选择 网 站 。 

(5) 右 击 希望 为 其 配置 SSL 通信 的 网 站 、 文 件 夹 或 文件 ， 然 后 单 击 “属性 ”。 

(6) 选择 “目录 安全 性 ”选项 卡 。 

(7) 单 击 “ 编 辑 ”。 

(8) 如 果 希 望 网 站 、 文 件 夹 或 文件 要 求 SSL 通信 ， 单 击 “需要 安全 通道 (SSL)”。 

(9) 单 击 “需要 128 位 加 密 ”， 以 配置 128 位 (而 不 是 40 位 ) 加 密 支 持 。 

(10) 要 允许 用 户 不 必 提 供 证 书 就 可 以 连接 ， 则 单 击 “ 忽 略 客户 证 书 ” 如 果 要 让 用 户 
提供 证 书 ， 则 使 用 “接受 客户 证 书 ”。 

(11) 要 配置 客户 端 映射 ， 则 单 击 “ 启 用 客户 证 书 映射 ” 然后 单 击 “ 编 辑 ” 将 客户 证 
书 映射 到 用 户 。 如 果 配 置 了 此 功能 ， 可 以 将 客户 证 书 分 别 映射 到 活动 目录 中 的 每 个 用 户 。 
可 以 使 用 此 功能 以 根据 用 户 访问 网 站 时 提供 的 证 书 自动 识别 用 户 。 可 以 将 用 户 一 对 一 映射 
到 证 书 (一 个 证 书 标识 一 个 用 户 ), 或 者 将 许多 证 书 映射 到 一 个 用 户 (根据 特 定 的 规则 ， 对 
照 证 书 列表 来 匹配 特定 的 用 户 。 第 一 个 有 效 的 匹配 项 称 为 映射 )。 

(12) 单 击 “确定 ”。 


9.4 ”黑客 与 网 络 攻 击 


随 着 网 络 的 迅猛 发 展 ， 网 络 安全 问题 日 趋 严 重 ， 黑 客 攻 击 活动 日 益 独 振 ， 黑 客 攻 击 的 


预防 技术 成 为 当今 社会 关注 的 焦点 ， 可 以 说 目前 网 络 安全 防护 的 主要 课题 便 是 如 何 预 防 和 
阻止 黑客 攻击 。 
9.4.1 概述 


“黑客 ”的 英文 是 Hacker， 原 意 是 “开辟 、 开 创 ” 之 意 ， 也 就 是 说 “黑客 ”应 该 是 开 
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辟 道 路 的 人 。 

现在 的 黑客 组 织 主要 分 成 两 大 阵营 ， 通 常 称 做 “ 白 帽 ”和 “ 黑 帽 ”。 

“ 白 帽 ”黑客 代表 那些 热衷 于 学 习 和 使 用 电脑 系统 ， 且 对 某 些 课题 有 着 极为 深入 研究 
的 人 。 他 们 对 商业 、 网 络 防护 等 领域 较 有 兴趣 ， 热 爱 挑战 ， 通 常 只 是 单纯 因为 好 玩 而 以 合 
法 的 方式 运用 其 黑客 攻击 技术 。 典 型 的 例子 有 参与 渗透 测试 ， 开 发 并 运用 防护 和 攻击 消减 
工具 ,或 受聘 为 安全 管理 人 员 和 安全 顾问 。 实 际 上 ， 在 计算 机 世界 里 ,“ 黑 客 ” 这 个 词 最 早 
就 是 用 来 描述 此 类 人 。 

“ 黑 帽 ”黑客 则 是 对 “黑客 ”这 个 词 更 惯常 的 理解 。 正 如 电影 或 媒体 所 描述 的 ， 作 为 
蓄意 破坏 者 和 强迫 型 的 社会 边缘 人 ， 黑 客 总 是 在 寻求 制造 混乱 ， 摧 毁 一 切 美好 的 事物 ， 他 
们 对 网 络 进行 恶意 扫描 、 攻 击 和 渗透 ， 应 用 专门 技术 找到 并 利用 系统 的 不 安全 因素 来 进行 
破坏 。 

现实 中 ， 这 两 个 阵营 之 间 还 有 一 块 灰色 地 带 ， 即 并 不 是 所 有 的 “ 白 帽 ”黑客 的 行为 都 
是 合法 的 ， 同 样 “ 黑 帽 ” 黑 客 的 行为 也 并 不 全 是 非法 的 。 这 就 可 以 解释 为 什么 很 多 原先 的 
“ 黑 帽 ”后 来 变 成 了 “ 白 帽 ”。 这 完全 取决 于 其 动机 驱动 因素 , 这 些 因素 的 根 带 在 于 好 奇 心 、 
窃取 信息 、 挑 战 智力 、 无 政治 主义 及 赢利 等 思想 观念 。 


9.4.2 ”网络 攻击 的 类 型 


目前 的 网 络 攻击 模式 呈现 多 方位 、 多 手段 化 ， 让 人 防不胜防 。 概 括 来 说 ， 网 络 攻击 可 
以 分 为 4 大 类 ， 即 拒绝 服务 攻击 、 利 用 型 攻击 、 信 息 收集 型 攻击 、 假 消息 攻击 。 
1. 拒绝 服务 攻击 


拒绝 服务 (Denial of Service，DoS) 攻击 是 目前 最 常见 的 一 种 攻击 类 型 。 从 网 络 攻 击 
所 采用 的 各 种 方法 和 所 产生 的 破坏 情况 来 看 ，DoS 算是 一 种 很 简单 ， 但 又 很 有 效 的 进攻 方 
式 ， 也 是 最 容易 实施 的 攻击 行为 。 其 目的 就 是 拒绝 服务 访问 ， 破 坏 组 织 的 正常 运行 ， 最 终 
使 网 络 连 接 堵塞 ， 或 者 服务 器 因 疲 于 处 理 攻 击 者 发 送 的 数据 包 而 使 服务 器 系统 的 相关 服务 
月 省 、 系 统 资源 耗 尽 。 

Dos 的 攻击 方式 有 很 多 种 , 常见 的 DoS 攻击 方式 有 同步 洪流 (SYNFlood)、 死 亡 之 Ping 
(Ping of Death)、Finger 炸弹 、Land 攻击 、Ping 洪流 、Rwhod 和 Smurf 等 。 

Dos 攻击 的 基本 过 程 如 下 : 首先 攻击 者 向 服务 器 发 送 众多 的 带 有 虚假 地 址 的 请 求 ， 服 
务 器 发 送 回复 消息 后 等 待 回 传 消息 。 由 于 地 址 是 伪造 的 ， 所 以 服务 器 一 直 等 不 到 回 传 的 消 
息 ， 然 而 服务 器 中 分 配给 这 次 请 求 的 资源 就 始终 没有 被 释放 。 当 服务 器 等 待 一 定 的 时 间 后 ， 
连接 会 因 超时 而 被 切断 ， 攻 击 者 会 再 度 传送 新 的 一 批 请 求 ， 在 这 种 反复 发 送 伪 地 址 请 求 的 
情况 下 ， 服 务 器 资源 最 终 会 被 耗 尽 。 

这 类 攻击 和 其 他 大 部 分 攻击 不 同 的 是 ， 它 们 不 是 以 获得 网 络 或 网 络 上 信息 的 访问 权 为 
目的 ， 而 是 要 使 受 攻击 方 耗 尽 网 络 、 操 作 系统 或 应 用 程序 有 限 的 资源 而 崩 泪 ， 从 而 不 能 ; 
其 他 正常 用 户 提供 服务 。 这 就 是 这 类 攻击 被 称 为 “拒绝 服务 攻击 ”的 真正 原因 。 

若 涉及 特殊 的 网 络 服务 应 用 ， 像 HTTP 或 FTP 服务， 攻击 者 能 够 获得 并 保持 所 有 服务 
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器 支持 的 有 用 连接 ， 有 效 地 把 服务 器 或 服务 的 真正 使 用 者 拒绝 在 外 面 。 大 部 分 拒绝 服务 攻 
击 是 利用 被 攻击 系统 整体 结构 上 的 弱点 ， 而 不 是 利用 软件 的 小 缺陷 或 安全 漏洞 进行 的 。 然 
而 ， 有 些 攻击 通过 采用 无 用 的 网 络 报 文 掀起 网 络 风暴 ， 提 供 错误 的 网 络 资源 状态 信息 危及 
网 络 的 性 能 。 

分 布 式 拒绝 服务 (Distributed Denial of Service，DDoS) 是 一 种 基于 Dos 的 特殊 形式 的 
分 布 、 协 作 式 的 大 规模 拒绝 服务 攻击 。 也 就 是 说 ， 不 再 是 从 单一 的 地 点 攻击 ， 而 是 同时 在 
儿 个 ， 甚 至 十 儿 个 地 点 实施 拒绝 服务 攻击 。 由 此 可 见 ， 它 的 攻击 力度 更 大 ， 和 危害 性 当然 也 
就 更 大 了 。 它 主要 瞄准 比较 大 的 网 站 ， 像 商业 公司 、 搜 索引 擎 和 政府 部 门 的 Web 站 点 。 


2. 利用 型 攻击 


利用 型 攻击 是 一 类 试图 直接 对 用 户 的 机 器 进行 控制 的 攻击 ， 最 常见 的 有 3 种 : 口令 猜 
测 、 特 洛 伊 木马 和 缓冲 区 溢出 。 

(1) 口令 猜测 

一 旦 黑客 识别 了 一 台 主 机 而 且 发 现 了 基于 NetBIOS、Telnet 或 NFS 等 服务 的 可 利用 的 
用 户 账号 ， 通 过 成 功 的 口令 猜测 即 令 达 到 对 机 器 的 控制 。 建 议 用 户 选用 难以 猜测 的 口令 
例如 词 和 标点 符号 的 组 合 ， 确 保 像 NFS、NetBIOS 和 Telnet 这 样 可 利用 的 服务 不 暴露 在 公 
共 范 围 内 ， 如 果 该 服务 支持 锁定 策略 ， 就 进行 锁定 ， 这 样 可 以 较 好 地 防御 口令 猜测 。 

(2) 特洛伊 木马 

“特洛伊 木马 ”是 一 种 或 是 直接 由 一 个 黑客 ， 或 是 通过 一 个 不 令 人 起 疑 的 用 户 秘密 安 
装 到 目标 系统 的 程序 。 一 旦 安装 成 功 并 取得 管理 员 权 限 ， 安 装 此 程序 的 人 就 可 以 直接 远程 
控制 目标 系统 。“ 特 洛 伊 木马 ”程序 可 用 来 查找 密码 信息 ， 留 下 后 门 使 得 黑客 日 后 可 以 再 次 
进入 系统 。“ 特 洛 伊 木马 ”程序 与 病毒 类 似 ,但 是 它 不 进行 自我 复制 ,而 是 驻 留 在 计算 机 内 
部 进行 破坏 或 允许 其 他 人 对 此 电脑 进行 远程 控制 。 

实际 上 ， 通 常 黑客 使 用 “特洛伊 木马 ”进行 秘密 的 间谍 活动 (例如 包 嗅 探 或 通过 后 
门 功能 来 实现 对 被 渗透 电脑 的 远程 控制 ， 而 电脑 用 户 却 对 此 毫 不 知情 。“ 特 洛 伊 木马 ”可 能 
造成 的 破坏 结果 包括 删除 /覆盖 数据 ;毁坏 文档 ;传播 病毒 等 其 他 恶性 产物 ; 建立 受 感染 计 
算 机 网 络 ， 来 发 动 分 布 式 拒绝 服务 (DDoS) 攻击 或 发 送 垃圾 邮件 ; 监控 电脑 使 用 者 并 暗 地 
里 将 其 上 网 习惯 等 数据 报告 给 其 他 人 ; 记忆 键盘 操作 ， 盗 取 用 户 的 密码 、 信 用 卡号 等 私人 
信息 ; 使 用 网 络 钓鱼 的 伎俩 诈骗 用 户 资料 用 于 犯罪 活动 :在 电脑 中 安装 后 门 程序 ， 便 于 日 
后 再 次 访问 控制 。 

(3) 缓冲 区 溢出 

通过 往 程序 的 缓冲 区 写 超出 其 长 度 的 内 容 , 造成 缓冲 区 的 溢出 , 即 可 破坏 程序 的 堆栈 ， 
使 程序 转 而 执行 其 他 的 指令 。 如果 这 些 指令 是 放 在 有 Root 权限 的 内 存 中 , 那么 一 旦 这 些 指 
令 得 到 了 运行 ， 黑 客 就 能 够 以 Root 权限 控制 系统 ， 达 到 入 侵 的 目的 。 缓 冲 区 攻击 的 目的 在 
于 扰乱 某 些 以 特权 身份 运行 的 程序 的 功能 ， 使 攻击 者 获得 程序 的 控制 权 。 

缓冲 区 溢出 的 一 般 攻 击 步骤 为 ， 在 程序 的 地 址 空间 里 安排 适当 的 代码 ， 青 通过 适当 的 
地 址 初始 化 寄存 器 和 存储 器 ， 让 程序 跳 到 黑客 安排 的 地 址 空间 中 执行 。 
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缓冲 区 溢出 给 系统 带 来 了 巨大 的 危害 ， 要 有 效 地 防止 这 种 攻击 ， 应 该 做 到 以 下 几 点 。 

@ 必须 及 时 发 现 缓冲 区 溢出 这 类 漏洞 : 在 一 个 系统 中 〈 如 UNIX 操作 系统 )， 这 类 漏 
洞 是 非常 多 的 ， 系 统管 理 员 应 经 常 和 系统 供应 商 联系 ， 及 时 对 系统 升级 以 堵塞 缓冲 区 溢出 

@ 程序 指针 完整 性 检查 : 在 程序 指针 被 引用 之 前 检测 它 是 否 改变 。 即便 一 个 攻击 者 成 
功 地 改变 了 程序 的 指针 ， 由 于 系统 事先 检测 到 了 指针 的 改变 ， 因此 这 个 指针 将 不 会 被 使 用 。 

@ 堆栈 保护 : 这 是 一 种 提供 程序 指针 完整 性 检查 的 编译 器 技术 , 通过 检查 函数 活动 记 
录 中 的 返回 地 址 来 实现 。 在 堆栈 中 ， 函 数 返回 地 址 后 面 加 了 一 些 附加 的 字 节 ， 而 在 函数 返 
回 时 ， 首 先 检查 这 个 附加 的 字 节 是 否 被 改动 过 。 如 果 发 生 过 缓冲 区 溢出 攻击 ， 那 么 这 种 攻 
击 很 容易 在 函数 返回 前 被 检测 到 。 但 是 ， 如 果 攻 击 者 预见 到 这 些 附加 字 节 的 存在 ， 并 且 能 
在 溢出 过 程 中 同样 地 制造 它们 ， 那 么 它 就 能 成 功 地 跳 过 堆栈 保护 的 检测 。 

@ 数组 边界 检查 : 所 有 对 数组 的 读 / 写 操作 都 应 当 检 查 ， 以 确保 对 数组 的 操作 在 正确 
的 范围 内 。 最 直接 的 方法 是 检查 所 有 的 数组 操作 ， 通 常 可 以 采用 一 些 优化 的 技术 来 减少 检 
查 的 次 数 。 

3. 信息 收集 型 攻击 

信息 收集 型 攻击 并 不 对 目标 本 身 造成 危害 , 主要 被 用 来 为 进一步 入 侵 提供 有 用 的 信息 ， 
主要 包括 扫描 技术 、 体 系 结构 探测 、 利 用 信息 服务 。 

(1) 扫描 技术 

网 络 安全 扫描 技术 是 一 种 基于 Internet 远程 检测 目标 网 络 或 本 地 主机 安全 性 脆弱 点 的 
技术 。 通 过 网 络 安全 扫描 ， 系 统管 理 员 能 够 发 现 所 维护 的 Web 服务 器 的 各 种 TCP/IP 端口 
的 分 配 、 开 放 的 服务 、Web 服务 软件 版 本 和 这 些 服务 及 软件 呈现 在 Internet 上 的 安全 漏洞 。 
网 络 安全 扫描 技术 也 是 采用 积极 的 、 非 破坏 性 的 方法 来 检验 系统 是 否 有 可 能 被 攻击 。 它 利 
用 了 一 系列 的 脚本 模拟 对 系统 进行 攻击 的 行为 ， 并 对 结果 进行 分 析 。 这 种 技术 通常 被 用 来 
进行 模拟 攻击 实验 和 安全 审计 。 网 络 安全 扫描 技术 与 防火 墙 、 安 全 监控 系统 互相 配合 就 能 
够 为 网 络 提供 很 高 的 安全 性 。 当 然 ， 网 络 扫描 技术 也 可 以 被 黑客 利用 ， 成 为 黑客 收集 信息 
的 工具 和 手段 。 

网 络 扫描 技术 主要 包括 PING 扫射 (Ping Sweep)、 操 作 系 统 探测 (Operating System 
Identification)、 探 测 访问 控制 规则 (Firewalking)、 端 口 扫描 (Port Scan) 以 及 漏洞 扫描 
(Vulnerability Scan) 等 。 

(2) 体系 结构 探测 

黑客 使 用 具有 已 知 响应 类 型 数据 库 的 自动 工具 ， 对 来 自 目标 主机 的 、 对 坏 数据 包 传 送 
所 作出 的 响应 进行 检查 。 由 于 每 种 操作 系统 都 有 其 独特 的 响应 方法 (例如 NT 和 Solaris 的 
TCP/IP 堆栈 具体 实现 就 有 所 不 同 )， 通 过 将 此 独特 的 响应 与 数据 库 中 的 已 知 响应 进行 对 比 ， 
黑客 就 能 确定 出 目标 主机 所 运行 的 操作 系统 。 

(3) 利用 信息 服务 

利用 信息 服务 主要 利用 网 络 协议 上 存在 的 漏洞 或 者 网 络 服务 存在 的 缺陷 进行 网 络 攻 
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击 。 主 要 有 以 下 几 类 : 

Q@ DNS 域 转换 : DNS 协议 不 对 转换 或 信息 的 更 新 进行 身份 认证 ， 这 使 得 该 协议 被 人 
以 一 些 不 同 的 方式 加 以 利用 。 如 果 用 户 维护 着 一 台 公共 的 DNS 服务 器 ， 黑 客 只 需 实施 一 次 
域 转换 操作 就 能 得 到 服务 器 中 所 有 主机 的 名 称 以 及 内 部 人 地 址 。 

@ Finger 服务 : 使 用 Finger 命令 来 刺探 一 台 Finger 服务 器 , 就 可 以 获取 关于 该 系统 的 
用 户 信息 ， 从 而 有 针对 性 地 实施 攻击 。 

@ LDAP 服 务 : 通过 LDAP 协议 颗 探 网 络 内 部 的 系统 及 其 用 户 信息 。 

4. 假 消息 攻击 

假 消息 攻击 主要 针对 目标 配置 不 正确 的 消息 , 主要 包括 DNS 高 速 缓存 污染 、 伪 造 电 子 
邮件 。 

(1) DNS 高 速 缓存 污染 : 由 于 DNS 服务 器 与 其 他 名 称 服务 器 交换 信息 的 时 候 并 不 进 
行 身份 验证 ， 这 就 使 得 黑客 可 以 将 不 正确 的 信息 挨 进 来 并 把 用 户 引 向 黑客 自己 的 主机 。 一 
般 来 说 ， 在 防火 墙 上 过 滤 入 站 的 DNS 更 新 ， 使 外 部 DNS 服务 器 不 能 更 改 内 部 服务 器 对 内 
部 机 器 的 认识 ， 就 可 以 防范 DNS 高 速 缓存 污染 。 

(2) 伪造 电子 邮件 : 由 于 SMTP 并 不 对 邮件 发 送 者 的 身份 进行 鉴定 ， 因此 黑客 可 以 对 
内 部 客户 伪造 电子 邮件 ， 声 称 是 来 自 某 个 客户 认识 并 相信 的 人 ， 并 附带 上 可 安装 的 “ 特 洛 
伊 木 马 ” 程 序 ， 或 者 是 一 个 引 向 恶意 网 站 的 链接 。 可 以 使 用 PGP 等 安全 工具 ， 并 安装 电子 
邮件 证 书 来 防范 伪造 电子 邮件 。 


9.4.3 黑客 攻击 流程 


黑客 要 实施 攻击 ， 一 般 来 说 必须 有 3 个 基本 步骤 。 

(1) 收集 信息 (踩点)。 

(2) 选择 目标 ， 实 施 攻击 。 

(3) 上 传 黑客 程序 ， 取 得 控制 权 ， 下 载 用 户 数据 。 

黑客 攻击 的 关键 一 步 就 是 收集 信息 ， 也 就 是 踩点 。 在 攻击 者 对 特定 的 网 络 资源 进行 攻 
击 前 ， 他 们 需要 了 解 将 要 攻击 目标 的 环境 ， 这 需要 收集 汇总 各 种 与 目标 系统 相关 的 信息 ， 
包括 目标 网 络 结构 、 用 户 数 、 目 标 机 器 类 型 、 所 用 域 ， 以 及 PP 地址 和 操作 系统 等 。 

攻击 者 收集 目标 信息 也 不 是 一 步 到 位 的 ， 也 必须 经 过 一 系列 的 子 步骤 来 实现 。 首 先 ， 
黑客 要 做 的 工作 一 般 是 扫描 ， 随 机 地 或 者 是 有 针对 性 地 利用 扫描 器 去 发 现 目标 网 络 上 那些 
有 漏洞 的 机 器 ， 像 程序 的 溢出 漏洞 、CGI、Unicode、FTP、 数 据 库 漏洞 等 ， 都 是 黑客 希望 
看 到 的 扫描 结果 。 随 后 就 是 尝试 入 侵 了 。 

黑客 入 侵 的 一 般 模式 为 :踩点 一 查 点 一 扫描 一 分 析 并 入 侵 一 获取 权限 一 提升 权限 一 扩 
大 范围 一 安装 后 门 一 清除 日 志 。 黑 客 攻 击 行为 流程 的 一 般 模型 如 图 9-7 所 示 。 

图 9-7 中 虚线 框 上 部 完成 收集 信息 ; 虚线 框 中 是 入 侵 模块 ， 即 实施 攻击 ;最 后 完成 黑 
客 攻击 的 目的 。 
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入 侵 行为 模块 


其 他 手段 


获取 控制 权 


| 
清除 /伪造 痕迹 | | 获取 sam 密 码 散 列 


远程 控制 | | 转移 目标 


直接 在 局 域 网 嗅 控 


获得 账号 口令 获得 控制 权 


图 9-7 黑客 攻击 行为 流程 的 一 般 模型 


9.4.4 典型 网 络 攻 击 及 防范 措施 举例 


1. TCP SYN 洪水 (TCP SYN Flood) 攻击 


TCP/IP 栈 只 能 等 待 有 限 数 量 的 应 答 ACK 消息 , 因为 每 台 计 算 机 用 于 创建 TCP/IP 连接 
的 内 存 缓冲 区 都 是 非常 有 限 的 。 如 果 这 一 缓冲 区 充满 了 等 待 响应 的 初始 信息 ， 则 该 计算 机 
就 会 对 接 下 来 的 连接 停止 响应 ， 直 到 缓冲 区 里 的 连接 超时 。 

“TCP SYN 洪水 ”攻击 正 是 利用 了 这 一 系统 漏洞 来 实施 攻击 的 。 攻 击 者 利用 伪造 的 卫 
地 址 向 目标 发 出 多 个 连接 SYN 请 求 。 目 标 系统 在 接收 到 请 求 后 发 送 确认 信息 , 并 等 待 回答 。 
于 黑客 们 发 送 请 求 的 瑟 地 址 是 伪造 的 ， 所 以 确认 信息 不 会 到 达 任何 计算 机 ， 当 然 也 就 不 
会 有 任何 计算 机 为 此 确认 信息 作出 应 答 了 。 而 在 没有 接收 到 应 答 之 前 ， 目 标 计 算 机 系统 是 
不 会 主动 放弃 的 ， 会 继续 在 缓冲 区 中 保持 相应 连接 信息 ， 一 直 等 待 。 当 等 待 连接 达到 一 定 
数量 后 ， 缓 冲 区 资源 耗 尽 ， 从 而 开始 拒绝 接收 任何 其 他 连接 请 求 ， 当 然 也 包括 本 来 属于 正 
常 应 用 的 请 求 ， 这 就 是 黑客 们 的 最 终 目 的 。 
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防御 方法 : 可 以 通过 检查 单位 时 间 内 收 到 的 SYN 连接 是 否 超过 系统 设 定 的 值 来 检测 是 
和 否 存在 这 种 攻击 。 反 攻击 的 方法 是 当 接收 到 大 量 的 SYN 数据 包 时 ,通知 防火 墙 阻 断 连接 请 
求 或 丢弃 这 些 数据 包 ， 并 进行 系统 审计 ; 在 防火 墙 上 过 滤 来 自 同一 主机 的 后 续 连 接 。 不 过 
“TCP SYN 洪水 ”攻击 还 是 非常 令 人 担忧 的 ， 由 于 此 类 攻击 并 不 寻求 响应 ， 所 以 无 法 从 一 
个 简单 的 高 容量 的 传输 中 鉴别 出 来 。 我 们 也 可 以 利用 防火 墙 抵御 “TCP SYN 洪水 ”攻击 。 
2. 分 片 IP 报 文 攻击 


IP 分 组 是 在 网 络 上 传输 人 P 报 文 时 常 采用 的 一 种 技术 手段 ， 但 是 其 中 存在 一 些 安全 隐 
患 。 最近, 一些 下 分 组 攻击 除了 用 于 进行 拒绝 服务 攻击 之 外 ， 还 经 常用 于 躲避 防火 墙 或 者 
网 络 入 侵 检测 系统 。 部 分 路 由 器 或 者 基于 网 络 的 入 侵 检测 系统 NIDS， 由 于 人 P 分 组 重组 能 
力 的 欠缺 ， 导 致 无 法 进行 正常 的 过 滤 或 者 检测 。 

为 了 传送 一 个 大 的 亿 报 文 ,IP 协 议 栈 需要 根据 链 路 接口 的 MTU 对 该 也 报 文 进行 分 组 ， 
通过 填充 适当 的 卫 头 中 的 分 组 指示 字段 ， 接 收 计算 机 可 以 很 容易 地 把 这 些 IP 分 组 报 文 组 
装 起 来 。 目 标 计算 机 在 处 理 这 些 分 组 报 文 的 时 候 ， 会 把 先 到 的 分 组 报 文 缓存 起 来 ， 然 后 一 
直 等 待 后 续 的 分 组 报 文 。 这 个 过 程 会 消耗 掉 一 部 分 内 存 ， 以 及 一 些 人 P 协 议 栈 的 数据 结构 。 
如 果 攻 击 者 给 目标 计算 机 只 发 送 一 片 分 组 报 文 ， 而 不 发 送 所 有 的 分 组 报 文 ， 被 攻击 计算 机 
便 会 一 直 等 待 ( 直 到 一 个 内 部 计时 器 到 时 ); 如 果 攻 击 者 发 送 了 大 量 的 分 组 报 文 ， 则 会 消耗 
掉 目 标 计 算 机 的 资源 ， 而 导致 不 能 处 理 正 常 的 他 报 文 , 这 也 是 一 种 DoS 攻击 。 

防御 方法 ， 对 于 这 种 攻击 ， 目 前 还 没有 一 种 十 分 有 效 的 防御 方法 。 对 一 些 包 过 滤 设 备 
或 者 入 侵 检测 系统 来 说 ， 首 先是 通过 判断 目的 端口 号 来 采取 允许 /禁止 措施 。 但 是 由 于 某 些 
攻击 者 通过 恶意 分 组 使 目的 端口 号 位 于 第 二 个 分 组 中 ， 而 包 过 滤 设 备 是 通过 判断 第 一 个 分 
组 来 决定 后 续 的 分 组 是 否 允许 通过 ， 因 而 这 些 分 组 在 目标 主机 上 进行 重组 之 后 将 形成 各 种 
攻击 。 通 过 这 种 方法 可 以 迁 回 一 些 入 侵 检 测 系 统 及 一 些 安全 过 滤 系 统 。 当 然 ， 目 前 一 些 知 
能 的 包 过 滤 设 备 可 直接 丢掉 报头 中 未 包含 端口 信息 的 分 组 , 这 样 可 以 起 到 很 好 的 防御 作用 。 

3. netbus 木马 


netbus 木马 的 客户 端 有 两 种 , 开放 的 都 是 12345 端口 ,一 种 以 Mring.exe 为 代表 (472576 
字 节 )， 一 种 以 SysEdit.exe 为 代表 (494592 字 节 )。 

一 旦 运行 Mring.exe，Mring.exe 就 会 通知 Windows 每 次 启动 时 就 运行 它 。Windows 将 
它 放 在 了 注册 表 中 ， 可 以 打开 C:\Windows\Regedit.exe， 进 入 HKEY_LOCAL_MACHINE\ 
Software\Microsoft\Windows\CurrentVersion\Run 找到 Mring.exe， 然 后 删除 这 个 键 值 ， 再 到 
Windows 中 找到 Mring.exe 删除 。 值 得 注意 的 是 ，Mring.exe 可 能 会 被 黑客 改变 名 字 ， 字 节 
长 度 也 被 改变 了 ， 但 是 在 注册 表 中 的 位 置 不 会 改变 ， 用 户 可 以 到 注册 表 的 这 个 位 置 去 找 。 

另外 ， 可 以 查找 含有 netbus 字符 的 可 执行 文件 ， 再 看 字 节 的 长 度 ， 被 找到 的 文件 多 
就 是 Mring.exe 的 变种 。 

SysEdit.exe 被 运行 以 后 , 并 不 加 到 Windows 的 注册 表 中 , 也 不 会 自动 挂 到 其 他 程序 中 ， 
于 是 有 人 认为 这 是 傻瓜 木马 ， 其 实 这 才 是 最 可 恶 、 最 阴险 的 木马 。 别 的 木马 被 加 到 了 注册 
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表 中 , 就 有 痕迹 可 查 了 ,而 SysEdit.exe 是 挂 在 其 他 的 软件 中 ,只 要 不 碰 这 个 软件 , SysEdit.exe 
也 就 不 会 发 作 ， 可 一 旦 运行 了 捆绑 了 SysEdit.exe 的 程序 ，SysEdit.exe 即 会 同时 启动 。 可 以 
在 自己 的 计算 机 中 做 这 样 一 个 实验 ， 将 SysEdit.exe 和 C:\Windows\System\Abcwin.exe 捆绑 
起 来 (Abcwin.exe 是 智能 ABC 输入 法 )， 然 后 开启 计算 机 ， 此 时 即 会 发 现 只 要 没有 打开 智 
能 ABC 输入 法 打字 ，SysEdit.exe 也 就 不 会 被 运行 ， 攻 击 者 就 不 能 进入 用 户 计 算 机 的 12345 
端口 ;可 一 旦 启动 了 智能 ABC 输入 法 (Abcwin.exe), 那 么 捆绑 在 Abcwin.exe 上 的 SysEdit.exe 
即 会 同时 被 运行 ，12345 端口 被 打开 ， 也 就 给 了 攻击 者 以 可 乘 之 机 。 同 样 道理 ，SysEdit.exe 
可 以 被 捆绑 到 网 络 传呼 机 、 信 箱 工 具 等 网 络 工 具 上 ， 甚 至 可 以 捆绑 到 拨号 工具 上 ， 计 算 机 
中 动 辑 数 百 个 程序 , 用 户 怎么 会 知道 能 在 什么 地 方 发 现 它 呢 ? 所 以 说 这 是 最 最 阴险 的 木马 ， 
让 人 防不胜防 。 


9.4.5 系统 入 侵 后 的 恢复 


这 里 主要 介绍 一 般 情况 下 系统 如 果 被 侵入 ， 应 该 如 何 应 对 。 需 要 注意 的 是 ， 用 户 在 系 
统 恢复 过 程 中 的 所 有 步骤 都 应 该 与 所 在 组 织 的 网 络 安全 策略 相符 。 

1. 准备 工作 

(1) 商讨 安全 策略 

如 果 用 户 的 组 织 没 有 自己 的 安全 策略 ， 那 么 需要 按照 以 下 过 程 建 立 自己 的 安全 策略 。 

@ 和 管理 人 员 协 商 : 将 入 侵 事 件 通知 管理 人 员 ， 这 可 能 在 有 的 组 织 中 很 重要 。 在 决定 
进行 事故 恢复 的 时 候 ， 网 络 管理 人 员 就 能 够 得 到 内 部 各 部 门 的 配合 。 

@ 和 法 律 顾问 协商 ， 在 开始 恢复 工作 之 前 ， 用 户 的 组 织 需 要 决定 是 否 进行 法 律 调查 。 

如 果 想 找 出 入 侵 者 是 谁 ， 建 议 你 与 管理 人 员 协 商 并 咨询 法 律 顾 问 ， 看 看 入 侵 者 是 否 触 
犯 了 相应 的 法 律 、 法 规 。 根 据 这 些 ， 可 以 报案 ， 看 看 警方 是 否 愿意 对 此 进行 调查 。 

通常 ， 如 果 想 进行 任何 类 型 的 调查 或 者 起 诉 入 侵 者 ， 最 好 先 跟 管 理 人 员 和 法 律 顾问 商 
量 ， 然 后 通知 有 关 执 法 机 构 。 需 要 注意 的 是 ， 除 非 执 法 部 门 的 参与 ， 否 则 对 入 侵 者 进行 的 
一 切 跟踪 都 可 能 是 非法 的 。 

(2) 记录 恢复 过 程 中 所 有 的 步骤 

记录 恢复 过 程 中 采取 的 每 一 步 措施 是 非常 重要 的 。 恢 复 一 个 被 入 侵 的 系统 是 一 件 很 麻 
烦 的 事 ， 要 耗费 大 量 的 时 间 ， 因 此 经 常会 使 人 作出 一 些 草率 的 决定 。 记 录 所 做 的 每 一 步 可 
以 帮助 用 户 避 免 作 出 草率 的 决定 ， 还 可 以 留 作 以 后 的 参考 ， 为 法 律 调查 提供 帮助 。 

2. 夺回 对 系统 的 控制 权 


(1) 将 被 入 侵 的 系统 从 网 络 上 断 开 : 为 了 夺回 对 被 入 侵 系 统 的 控制 权 ， 用 户 需 要 将 其 
从 网 络 上 断 开 ， 包 括 拨号 连接 。 断 开 以 后 ， 进 入 UNIX 系统 的 单 用 户 模 式 或 者 NT 的 本 地 
管理 者 (Local Administrator) 模式 ， 以 夺回 系统 控制 权 。 

(2) 复制 一 份 被 入 侵 系 统 的 镜像 : 在 进行 入 侵 分 析 之 前 ， 建 议 备份 被 入 侵 的 系统 ， 将 
来 可 能 会 用 得 着 。 可 以 使 用 操作 系统 的 相关 命令 完成 精确 复制 ， 也 可 以 使 用 一 些 第 三 方 的 
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程序 复制 被 入 侵 系统 的 整个 硬盘 镜像 。 建 立 一 个 备份 非常 重要 ， 能 帮助 将 系统 恢复 到 入 侵 
刚 被 发 现时 的 状态 ， 也 可 以 为 法 律 调查 提供 可 能 的 帮助 。 

3. 入 侵 分 析 


通过 审查 日 志文 件 和 系统 配置 文件 ， 可 以 检查 入 侵 的 蛛丝马迹 。 主 要 完成 以 下 几 个 方 
面 的 分 析 : 

(1) 检查 入 侵 者 对 系统 软件 和 配置 文件 的 修改 

在 检查 入 侵 者 对 系统 软件 和 配置 文件 的 修改 时 ， 需 要 注意 的 是 ， 使 用 的 校 验 工具 本 身 
可 能 已 经 被 修改 过 ， 操 作 系 统 的 内 核 也 有 可 能 被 修改 了 ， 这 非常 普遍 。 因 此 ， 建 议 使 用 一 
个 可 信任 的 内 核 启动 系统 ， 而 且 使 用 的 所 有 分 析 工 具 都 应 该 是 干净 的 。 

(2) 检查 被 修改 的 数据 

入 侵 者 经 常会 修改 系统 中 的 数据 ， 因 此 建议 对 Web 页 面 文件 、FTP 存档 文件 、 用 户 目 
录 下 的 文件 以 及 其 他 的 文件 进行 校 验 。 

(3) 检查 入 侵 者 留 下 的 工具 和 数据 

入 侵 者 通常 会 在 系统 中 安装 一 些 工具 ， 以 便 继 续 监视 被 入 侵 的 系统 。 入 侵 者 一 般 会 在 
系统 中 留 下 如 下 文件 : 

@ 网 络 嗅 探 器 。 

@ “特洛伊 木马 ”程序 。 

@ 后 门 。 

@ 安全 缺陷 攻击 程序 : 系统 运行 存在 安全 缺陷 的 软件 是 其 被 入 侵 的 一 个 主要 原因 。 入 
侵 者 经 常会 使 用 一 些 针 对 已 知 安全 缺陷 的 攻击 工具 ， 以 此 获得 对 系统 的 非法 访问 权限 。 这 
些 工具 通常 会 留 在 系统 中 ， 保 存在 一 个 隐蔽 的 目录 中 。 

因此 ， 建 议 对 系统 进行 彻底 的 搜索 ， 找 出 上 面 列 出 的 工具 及 其 输出 文件 。 

(4) 审查 系统 日 志文 件 

详细 地 审查 系统 日 志文 件 ， 可 以 了 解 系统 是 如 何 被 入 侵 的 ， 入 侵 过 程 中 攻击 者 执行 了 
哪些 操作 ， 以 及 哪些 远程 主机 访问 了 你 的 主机 。 通 过 这 些 信息 ， 能 够 对 入 侵 有 更 加 清晰 的 
认识 。 

(5) 检查 网 络 嗅 探 器 

判断 系统 是 否 被 安装 了 嗅 探 器 ， 首 先 要 看 当前 是 否 有 进程 使 网 络 接口 处 于 混杂 
(Promiscuous) 模式 下 。 只 要 任意 网 络 接 口 处 于 混杂 模式 下 ， 就 表示 可 能 系统 被 安装 了 网 
络 嗅 探 器 。 有 一 些 工具 程序 也 可 以 帮助 检测 系统 内 的 嗅 探 器 程序 。 

(6) 检查 网 络 上 的 其 他 系统 

除了 已 知 被 入 侵 的 系统 外 ， 还 应 该 对 网 络 上 所 有 的 系统 进行 检查 。 主 要 检查 和 被 入 侵 
主机 共享 的 网 络 服务 (例如 NIX、NFS) 或 者 通过 一 些 机 制 (例如 hosts.equiv、rhosts 文件 ， 
或 者 kerberos 服务 器 ) 和 被 入 侵 主 机 相互 信任 的 系统 。 

(7) 检查 涉及 到 的 或 者 受到 威胁 的 远程 站 点 

在 审查 日 志文 件 、 入 侵 程序 的 输出 文件 和 系统 被 入 侵 以 来 被 修改 的 和 新 建立 的 文件 时 ， 
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要 注意 哪些 站 点 可 能 会 连接 到 被 入 侵 的 系统 。 根 据 经 验 ， 那 些 连 接 到 被 入 侵 主 机 的 站 点 ， 
通常 也 已 经 被 入 侵 了 。 所 以 要 尽快 找 出 其 他 可 能 遭 到 入 侵 的 系统 ， 通 知 其 管理 人 员 。 


4. 向 计算 机 紧急 反应 组 CERT 提交 事件 报告 


中 国 大 陆地 区 的 网 址 是 :http://www.cert.org.cn。 填 写 一 份 事件 报告 表 ， 使 用 电子 邮件 
发 送 到 http://www.cert.org， 就 可 以 从 他 们 那里 得 到 一 些 恢复 建议 和 更 多 帮助 。CERT 也 会 
根据 事件 报告 表 对 攻击 趋势 进行 分 析 ， 将 分 析 结 果 总 结 到 其 安全 建议 和 安全 总 结 中 ， 从 而 
防止 攻击 的 蔓延 。 


5 恢复 系统 


(1) 安装 干净 的 操作 系统 版 本 

如 果 主 机 被 入 侵 ， 系 统 中 的 任何 东西 都 有 可 能 被 攻击 者 修改 ， 包 括 内 核 、 二 进 制 可 执 
行文 件 、 数 据 文件 、 正 在 运行 的 进程 以 及 内 存 。 此 时 通常 需要 重 装 操作 系统 ， 然 后 在 重新 
连接 到 网 络 之 前 安装 所 有 的 安全 补丁 ， 只 有 这 样 才 会 使 系统 不 受 后 门 和 攻击 者 的 影响 。 只 
是 找 出 并 修补 被 攻击 者 利用 的 安全 缺陷 是 不 够 的 。 

(2) 取消 不 必要 的 服务 

只 配置 系统 要 提供 的 服务 ， 取 消 那 些 没有 必要 的 服务 。 检 查 并 确信 其 配置 文件 没有 脆 
弱 性 以 及 该 服务 是 否 可 靠 。 通常 最 保守 的 策略 是 取消 所 有 的 服务 ， 只 启动 需要 的 服务 。 

(3) 安装 供应 商 提 供 的 所 有 补丁 

强烈 建议 安装 所 有 的 安全 补丁 ， 以 使 系统 能 够 抵御 外 来 攻击 ， 不 被 再 次 侵入 ， 这 是 最 
重要 的 一 步 。 

(4) 查阅 CERT 的 安全 建议 、 安 全 总 结 和 供应 商 的 安全 提示 。 

(5) 谨慎 使 用 备份 数据 

从 备份 中 恢复 数据 时 ， 要 确信 备份 主机 没有 被 入 侵 。 一 定 要 记 住 ， 恢 复 过 程 可 能 会 重 
新 带 来 安全 缺陷 ， 被 入 侵 者 利用 。 

(6) 改变 密码 

在 弥补 了 安全 漏洞 或 者 解决 了 配置 问题 以 后 ， 建 议 改 变 系统 中 所 有 账户 的 密码 ， 直 到 
确信 所 有 账户 的 密码 都 不 容易 被 猜 到 。 有 时 可 能 需要 使 用 供应 商 提供 的 或 者 第 三 方 的 工具 
加 强 密码 的 安全 。 

6. 加强 系统 和 网 络 的 安全 


(1) 根据 CERT 的 UNIX/NT 配置 指南 检查 系统 的 安全 性 。 

(2) 安装 安全 工具 。 在 将 系统 连接 到 网 络 上 之 前 ， 一 定 要 安装 所 有 选择 的 安全 工具 。 

(3) 打开 日 志 。 启 动 日 志 程序 ， 将 它们 设置 到 准确 的 级 别 。 经 常备 份 日 志文 件 ， 或 者 
将 日 志 写 到 另外 的 机 器 〈 一 个 只 能 增加 的 文件 系统 或 者 一 个 安全 的 日 志 主 机 )。 

(4) 配置 防火 墙 对 网 络 进行 防御 。 

完成 以 上 步骤 后 ， 就 可 以 把 系统 连接 回 Internet 了 。 最 后 还 应 该 升级 系统 的 安全 策略 ， 
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CERT 协调 中 心 建议 每 个 站 点 都 要 有 自己 的 计算 机 安全 策略 。 每 个 组 织 都 有 自己 特殊 的 文 
化 和 安全 需求 ， 因 此 需要 根据 自己 的 情况 指定 安全 策略 。 


9.5 电子 邮件 系统 的 安全 


电子 邮件 简称 E-mail (Electronic Mail)， 是 Internet 上 最 常用 的 功能 之 一 ， 使 用 户 可 以 
通过 Internet 交换 邮件 形式 的 信息 文件 。 电 子 邮 件 不 是 一 种 “终端 到 终端 ” 的 服务 ， 而 是 一 
种 被 称 为 “存储 转发 式 ” 的 服务 。 这 就 是 说 ， 电 子 邮件 的 发 送 要 通过 不 同 的 路 由 器 进行 转 
发 ， 直 至 到 达 电 子 邮 件 最 终 接收 主机 。 因 此 ， 攻 击 者 可 以 在 电子 邮件 数据 包 经 过 路 由 器 的 
时 候 把 它们 截取 下 来 ， 而 且 发 件 人 对 邮件 是 否 被 截获 也 是 毫 不 知情 的 。 可 见 电子 邮件 系统 
同样 面临 着 严峻 的 安全 问题 。 

当前 ， 电 子 邮 件 系统 的 发 展 面临 着 机 密 泄漏 、 信 息 欺 骗 、 病 毒 侵 扰 、 垃 圾 邮件 等 诸多 
安全 问题 的 困扰 。 人 们 对 电子 邮件 系统 和 服务 的 要 求 日 渐 提 高 ， 其 中 安全 需求 尤为 突出 。 
同时 ， 国 家 也 正在 积极 筹划 电子 签名 、 反 垃圾 邮件 等 电子 邮件 安全 相关 的 法 律 、 法 规 。 


9.5.1 电子 邮件 的 安全 漏洞 


使 用 电子 邮件 就 像 在 邮局 发 送 一 封 没有 封口 的 信 一 样 不 安全 。 从 技术 上 讲 ， 没 有 任何 
方法 能 够 阻止 攻击 者 截取 电子 邮件 数据 包 。 电 子 邮 件 的 收发 方式 一 般 有 两 种 ， 一 种 是 通过 
Web 页 方式 收发 邮件 ， 即 用 浏览 器 登录 到 主页 进行 收发 ， 另 一 种 是 使 用 邮件 客户 端 ， 例 如 
Outlook 和 Foxmail 等 ， 使 用 这 种 方法 的 前 提 是 邮件 服务 器 必须 支持 POP 协议 。 目 前 ， 多 
数 免费 信箱 都 支持 这 两 种 方式 ， 而 前 者 则 更 为 普遍 。 

下 面 主要 就 用 Web 页 方式 收发 邮件 时 存在 的 安全 漏洞 作 一 简单 介绍 。 

1. 缓存 漏洞 

对 多 数 浏 览 器 来 说 ， 为 了 提高 浏览 速度 ， 系 统 会 自动 将 最 近 浏 览 过 的 网 页 保存 到 硬盘 
的 某 个 临时 文件 夹 里 ， 这 个 文件 夹 称 为 缓存 。 当 用 户 打开 的 网 页 关闭 时 ， 这 些 文件 仍然 可 
以 轻易 被 读 取 。 当 用 户 通过 Web 页 面 方式 读 信 , 那么 这 一 封 信 实 质 上 就 是 一 个 普通 的 网 页 ， 
同样 会 被 保存 在 缓存 里 。 如 果 有 人 接触 用 户 的 硬盘 文件 ， 也 就 没有 任何 秘密 了 。 

2. 历史 记录 漏洞 

对 于 电子 邮件 系统 中 的 每 个 信箱 ， 都 能 将 用 户 名 和 密码 通过 特定 的 算法 体现 在 URL 
上 ， 浏览 器 的 历史 记录 里 会 保存 这 一 URL 地 址 。 如 果 有 些 信箱 没有 设置 超时 校 验 ， 那么 任 
何人 都 可 以 通过 查看 本 机 的 历史 记录 而 进入 信箱 。 

3. 攻击 性 代码 漏洞 

恶意 的 发 件 人 可 以 把 一 段 攻击 性 代码 包含 在 给 用 户 的 邮件 中 , 当 用 户 打 开 这 个 邮件 时 ， 
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这 个 隐藏 的 程序 代码 便 可 将 邮件 自动 转发 到 对 邮件 感 兴趣 的 人 手中 。 有 的 恶意 代码 可 以 打 
开 无 数 个 窗口 ， 使 系统 资源 耗 尽 而 最 终 死机 。 


9.5.2 ”电子 邮件 欺骗 


电子 邮件 欺骗 行为 通常 是 指 欺 骗 用 户 进行 一 个 毁坏 性 操作 或 暴露 敏感 信息 。 

电子 邮件 欺骗 往往 是 在 电子 邮件 中 改变 发 送 者 的 名 字 使 之 看 起 来 是 从 某 地 或 某 人 发 
来 的 ， 这 种 “欺骗 ”经 常 被 诡计 制造 者 用 来 防止 被 人 们 识破 ， 还 可 用 来 实现 恶作剧 或 恶意 
行为 。 

电子 邮件 欺骗 会 制造 安全 漏洞 。 例 如 ， 电 子 邮 件 假 称 来 自 系统 管理 员 ， 要 求 用 户 将 其 
口令 改变 为 特定 的 字符 串 ， 并 威胁 用 户 如 果 不 照 此 办 理 ， 将 关闭 用 户 的 账户 。 用 户 就 应 该 
了 解 ， 任 何 系统 管理 人 员 都 不 会 用 电子 邮件 发 出 这 样 的 要 求 。 相 反 ， 会 发 出 一 份 备忘录 ， 
或 有 其 他 的 验证 手段 。 

由 于 简单 电子 邮件 传输 协议 SMTP 没有 验证 系统 ， 导 致 伪造 电子 邮件 十 分 方便 。 如 果 
站 点 允许 与 SMTP 端口 联系 ， 任 何人 都 可 以 与 该 端口 联系 ， 并 以 你 甚至 虚构 的 某 人 的 名 义 
发 出 电子 邮件 。 


9.5.3 电子 邮件 病毒 


“电子 邮件 病毒 ”其 实 和 普通 的 计算 机 病毒 一 样 ， 只 不 过 由 于 它们 的 传播 途径 主要 是 
通过 电子 邮件 ， 所 以 才 被 称 为 “电子 邮件 病毒 “电子 邮件 病毒 ”主要 是 为 了 使 用 户 的 计 
算 机 感染 病毒 , 或 者 是 成 为 黑客 手中 的 工具 。“ 电 子 邮件 病毒 ”除了 具备 普通 病毒 可 传播 性 、 
可 执行 性 、 破 坏 性 、 可 触发 性 特征 之 外 ， 还 有 感染 速度 快 、 扩 散 面 广 、 清 除 困难 、 破 坏 性 
大 、 隐 蔽 性 强 等 特点 。 

要 想 防范 邮件 病毒 ， 必 须 能 够 准确 地 识别 电子 邮件 病毒 。 一 般 情况 下 ， 可 以 从 以 下 儿 
个 方面 识别 “电子 邮件 病毒 ”。 

1. 查看 附件 大 小 


电子 邮件 的 附件 通常 是 “电子 邮件 病毒 ”的 最 佳 载体 ， 通 过 查看 附件 大 小 ， 可 以 识别 
出 电子 邮件 是 否 携带 病毒 。 例如 , 一 般 情况 下 , 一 个 Word 文档 附件 的 大 小 为 儿 十 KB 左右 ， 
如 果 发 现 电子 邮件 的 附件 是 儿 百 KB， 则 该 封 邮件 便 很 有 可 能 携带 了 病毒 。 

2. 查看 邮件 地 址 

“电子 邮件 病毒 ”的 传播 者 通常 会 利用 一 些 陌生 的 邮件 地 址 欺骗 用 户 ， 当 收 到 来 自 陌 
生地 址 的 邮件 时 ， 一 定 要 加 倍 小 心 。 如 果 这 类 邮件 带 有 附件 ， 更 要 谨慎 ， 这 样 的 邮件 有 非 
常 大 的 可 能 是 病毒 的 携带 者 。 对 于 来 自 陌 生地 址 的 邮件 ， 在 看 了 邮件 地 址 后 ， 再 看 邮件 内 
容 ， 如 果 内 容 是 无 关 痛 痒 且 与 工作 无 关 的 ， 基 本 可 以 判断 该 封 邮件 是 病毒 的 携带 者 。 
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3. 识别 真 伪 退 信 

户 书写 邮件 时 ， 如 果 将 收 件 人 的 电子 邮件 地 址 写 错 了 ， 邮 件 服务 器 会 自动 将 该 邮件 
退回 。 一 些 “ 电 子 邮件 病毒 ”的 传播 者 通常 会 利用 伪装 的 退 信 传 播 病 毒 ， 因 为 退 信 中 通常 
会 有 一 个 附件 ， 书 写 着 用 户 邮 件 的 正文 ， 一 旦 用 户 打 开 了 假冒 的 邮件 服务 器 系统 退 信 ， 并 
且 查 看 了 附件 ,“ 电 子 邮件 病毒 ”就 会 感染 用 户 的 计算 机 。 为 此 ， 用 户 必 须 识别 真 伪 退 信 。 
识别 真 伪 退 信 的 方法 非常 简单 ， 看 一 下 邮件 地 址 即 可 。 例 如 网 易 的 退 信和 邮件 ， 其 发 件 人 显 
示 为 postmaster@163.com。 

4. 周密 防范 邮件 病毒 入 侵 


从 上 面 的 叙述 可 以 看 出 ,“ 电 子 邮 件 病毒 ”也 是 病毒 的 一 类 , 但 有 一 定 的 特殊 性 。 为 此 ， 
要 充分 利用 软件 的 防毒 功能 ， 制 定 出 周密 的 防范 邮件 病毒 入 侵 的 方案 。 例 如 ， 合 理 设置 杀 
毒 软件 。 大 部 分 杀毒 软件 都 能 对 磁盘 中 的 文件 进行 实时 监控 ， 但 有 些 杀毒 软件 并 不 具备 对 
邮件 进行 实时 监控 的 功能 ， 为 此 必须 为 计算 机 安装 一 款 对 邮件 实时 监控 能 力 非常 强 的 杀毒 
软件 。 在 邮件 实时 扫描 方面 ， 杀 毒 软件 的 邮件 扫描 功能 启用 后 ， 收 发 邮件 过 程 中 就 可 以 对 
邮件 内 容 及 附件 进行 检查 ， 这 样 可 以 有 效 防 止 “ 电 子 邮件 病毒 ”的 入 侵 。 


9.5.4 电子 邮件 加 密 


到 


使 用 电子 邮件 就 像 在 邮局 发 出 一 封 没 有 封口 的 信件 一 样 不 安全 。 从 技术 上 讲 ， 没 有 任 
何方 法 能 够 阻止 攻击 者 截获 电子 邮件 数据 包 。 唯 一 有 效 的 办 法 就 是 让 攻击 者 无 法 阅读 截获 
的 数据 包 ， 也 就 是 对 电子 邮件 加 密 。 当 电子 邮件 加 密 后 ， 只 要 加 密 算法 和 密 钥 足够 强大 ， 
那么 即使 攻击 者 截获 了 邮件 数据 也 无 法 看 到 或 修改 邮件 的 内 容 。 

1. 电子 邮件 加 密 方法 

常用 的 电子 邮件 加 密 方法 有 以 下 儿 种 : 

(1) 端 到 端的 加 密 。 就 是 从 源 设备 到 接收 设备 的 完全 加 密 。 这 种 方法 通过 禁止 插入 点 
而 提供 最 高 级 的 安全 ， 因 为 在 这 些 插 入 点 上 纯 文本 数据 就 可 以 被 任何 人 读 取 。 加 密 软 件 必 
须要 安装 在 端点 上 并 进行 维护 ， 端 点 必须 与 客户 端的 电子 邮件 阅读 软件 相 集 成 。 

(2) 网 关 到 端点 的 加 密 。 这 是 一 种 简化 的 加 密 ， 它 提供 了 从 发 送 方 网 络 内 的 网 关系 统 
到 接收 端的 完全 加 密 。 在 这 种 方案 中 ， 消 息 以 纯 文本 的 形式 从 发 送 方 的 桌面 发 出 ， 并 在 相 
对 邻近 于 电子 邮件 服务 器 的 网 关上 进行 加 密 。 这 种 模式 取消 了 对 任何 加 密 软 件 的 需要 ， 或 
者 取消 了 发 送 方 的 干预 。 

(3) 网 关 到 网 关 的 加 密 。 这 种 方法 就 像 网 关 到 端点 的 加 密 ， 不 过 它 在 接收 方 一 端 增加 
了 一 个 加 密 网 关 ， 从 而 也 就 无 须 桌 面 软件 和 管理 成 本 。 但 这 种 加 密 成 本 极 高 ， 且 收发 双方 
必须 在 同一 加 密 网 关内 。 

(4) 网 关 到 Web 的 加 密 。 可 以 通过 一 个 Web 服务 器 提供 对 敏感 数据 的 访问 。 数 据 通 
常 是 通过 传输 层 加 密 来 加 以 保护 的 ， 例 如 使 用 加 密 套 接 字 协 议 层 SSL。 这 就 保证 了 与 任何 
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接收 方 的 通信 安全 ， 而 不 管 其 架构 或 复杂 水 平 。 在 这 种 方案 中 ， 一 个 标准 的 消息 被 发 往 接 
收 端 ， 并 通知 它 有 一 个 安全 消息 正在 网 关 处 等 待 。 接 收 方 通过 一 个 安全 连接 找到 这 个 消息 ， 
这 需要 通过 由 不 同 频道 信号 传输 (OutOf-Band) 机制 提供 的 机 密 信息 进行 身份 验证 。 

2. 实现 加 密 的 原理 


(1) 实现 加 密 的 原理 

电子 签名 技术 采用 多 种 加 密 方法 ， 在 此 通过 易于 理解 的 RSA 公 钥 体系 为 例 简 述 其 原 
理 。RSA 加 密 基 于 一 个 对 大 数 进行 分 解 质 因子 非常 困难 的 数学 假设 ， 使 用 2 个 大 素数 的 函 
数 ， 一 个 作为 公 铀 ， 另 一 个 作为 私 铀 。 由 于 这 2 个 密 钥 是 互补 的 ， 公 钥 加 密 的 密 文 可 以 用 
私 钥 解密 ， 反 之 亦 然 。 因 而 邮件 发 送 者 只 需要 使 用 收 件 人 的 公 钥 加 密 邮 件 ， 加 密 后 的 邮件 
只 有 拥有 私 钥 的 收 件 人 才 可 能 有 办 法 解密 阅读 ， 也 就 实现 了 邮件 的 加 密 ， 从 而 保证 了 邮件 
不 会 被 任何 第 三 者 所 阅读 ， 即 使 在 传输 的 过 程 中 被 第 三 者 截取 仍然 不 至 于 泄密 。 

(2) 电子 邮件 加 密 的 原理 

当 用 户 使 用 自己 的 电子 证 书 在 发 出 的 邮件 上 签名 时 ， 邮 件 将 被 按照 邮件 的 内 容 通 过 摘 
要 函数 运算 取得 一 个 可 以 用 以 检验 邮件 完整 性 的 值 , 并 将 该 值 使 用 电子 证 书 中 的 私 钥 加 密 ， 
然后 与 公 铀 和 邮件 内 容 一 起 发 送出 去 。 由 于 私 钥 加 密 的 内 容 只 有 对 应 的 公 钥 可 以 解密 ， 并 
且 摘 要 函数 可 以 在 任意 大 小 的 数据 中 采集 一 个 固定 长 度 的 摘要 ， 供 采集 的 数据 源 即 使 有 一 
位 数据 改变 取得 的 结果 也 不 同 ， 邮 件 的 内 容 有 任何 改变 都 无 法 与 原来 检验 邮件 完整 性 的 值 
相 匹 配 ， 当 收 件 人 收 到 邮件 时 就 可 知道 邮件 的 内 容 是 否 被 算 改 ， 同 时 也 知道 该 邮件 发 送 者 
使 用 的 是 哪 一 个 电子 证 书 。 而 由 于 第 三 方 的 权威 证 书 发 行 机 构 在 发 出 电子 证 书 时 ， 将 验证 
申请 者 是 否 拥有 所 申请 电子 邮箱 的 使 用 权 ， 收 件 人 也 就 能 够 通过 证 书 发 行 机 构 验证 发 件 人 
所 使 用 的 电子 证 书 ， 确 认 所 收 到 的 邮件 的 确 来 自 拥 有 这 个 邮箱 地 址 的 用 户 ， 从 而 实现 对 发 
件 人 的 真实 性 与 邮件 内 容 是 否 完整 的 鉴别 。 
电子 签名 技术 非常 复杂 ， 但 使 用 起 来 非常 方便 ， 不 论 是 签名 还 是 加 密 、 解 密 ， 具 体 的 
步骤 都 将 由 电子 邮件 客户 端 软件 实施 。 目 前 FoxMail、Outlook Express 与 Outlook 等 主流 的 
电子 邮件 客户 端 软件 都 能 够 支持 。 用 户 需 要 做 的 只 是 申请 电子 证 书 ， 并 在 电子 邮件 客户 端 
软件 上 指定 每 个 电子 邮件 地 址 将 使 用 哪 种 电子 证 书 。 在 需要 为 发 送 的 电子 邮件 签名 或 加 密 
时 ， 单 击 相应 的 按钮 即 可 完成 。 而 当 收 到 使 用 电子 签名 的 邮件 时 ， 验 证 邮件 是 否 完整 和 解 
密 的 工作 也 将 由 电子 邮件 客户 端 软件 自动 完成 。 


9.5.5 电子 邮件 加 密 软 件 PGP 的 应 用 举例 


PGP 的 全 称 是 Pretty Good Privacy， 是 Internet 上 一 个 著名 的 共享 加 密 软 件 。PGP 与 具 
体 的 应 用 无 关 ， 可 独立 提供 数据 加 密 、 数 字 签 名 、 密 钥 管理 等 功能 ， 适 用 于 电子 邮件 内 容 
的 加 密 和 文件 内 容 的 加 密 ; 也 可 作为 安全 工具 嵌入 到 应 用 系统 之 中 。 目 前 ，PGP 已 经 是 事 
实 上 进行 电子 信息 加 密 的 应 用 标准 ，IETF 在 安全 领域 有 一 个 专门 的 工作 组 负责 进行 PGP 
的 标准 化 工作 ， 许 多 大 的 公司 、 机 构 ， 包 括 很 多 安全 部 门 在 内 ， 都 拥有 自己 的 PGP 密码 。 
PGP 的 传播 和 使 用 处 于 一 种 无 政府 状态 ， 完 全 由 使 用 者 自行 控制 掌握 ， 通 过 数字 签名 
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所 形成 的 信任 链 将 彼此 信任 的 用 户 关联 起 来 。 也 就 是 说 ，PGP 没有 外 部 约束 ， 每 个 人 自行 
决定 信任 谁 。 如 果 用 户 比 较 小 心 谨慎， 而 且 使 用 对 象限 制 在 一 定 范围 ， 则 PGP 安全 就 可 以 
得 到 保证 ， 因 为 信任 链 是 由 用 户 自 己 维护 控制 的 ， 不 必 依赖 于 一 个 自己 无 法 控制 的 外 部 系 
统 。 当 然 ， 也 正 因为 密 钥 管理 系统 的 这 种 自 维护 性 ，PGP 的 密 钥 管理 存在 缺乏 规范 标准 、 
缺乏 权威 和 缺乏 仲裁 等 问题 。 

1. PGP 的 工作 方式 


PGP 使 用 了 以 下 一 些 算法 : RSA、AES、CAST、IDEA、TripleDES、Twofish、MD5. ZIP、 
PEM 等 。 PGP 使 用 RSA 算法 对 IDEA 密 钥 进行 加 密 , 然后 使 用 IDEA 算法 对 信息 本 身 进行 
加 密 。 在 PGP 中 使 用 的 信息 摘要 算法 是 MD5。 

由 于 PGP 也 为 电子 邮件 提供 数据 安全 服务 , 为 了 克服 一 些 SMTP 只 支持 7bit 传输 的 问 
题 , PGP 对 传输 的 信息 提供 了 编码 功能 (定义 在 RFC 1113 中 )。 为 了 减少 由 于 编码 所 造成 的 
传输 内 容 长 度 增加 ，PGP 在 传输 数据 之 前 ， 先 使 用 ZIP 技术 对 数据 进行 压缩 ， 通 常 可 减少 
近 50% 的 长 度 。 由 于 加 密 本 身 会 使 文件 的 相关 性 降低 ， 影 响 压缩 的 效率 ， 因 此 PGP 是 在 加 
密 前 对 信息 进行 压缩 ， 这 样 还 可 以 减少 加 密 的 信息 长 度 。 

PGP 至 少 为 每 个 用 户 定义 两 个 密 钥 文件 ， 称 为 Keyring, 分 别 存放 自己 的 私 钥 (可 以 不 
止 一 个 ) 和 自己 及 其 他 用 户 的 公 钥 。 

2. PGP 应 用 举例 


以 PGP 8.1 版 为 例 ， 下 载 安装 文件 后 执行 安装 ， 然 后 重启 计算 机 PGP 将 以 向 导 的 方式 
指引 用 户 一 步 步 产 生 自 己 的 公 钥 / 私 钥 对 〈 若 已 有 , 则 也 可 直接 指定 公 钥 / 私 钥 文件 所 在 的 文 
件 夹 导入 使 用 )， 生 成 时 要 求 用 户 输入 通行 码 (Passphrase )， 如 图 9-8 所 示 。 
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图 9-8 PFP 用 户 输入 通行 码 窗口 
PGP 运行 后 ， 在 系统 提示 区 的 图 标 为 图 。PGP 的 主要 功能 如 图 9-9 所 示 。 
(1) PGP 的 主要 功能 
G@ 密 钥 管理 (PGPkeys) 
管理 界面 如 图 9-10 所 示 。 可 新 建 、 导 入 、 导 出 密 钥 ， 建 立 相 互 间 信任 链 。 
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图 9-9 PGP 主要 功能 


Dle Et View leys Server Goda li9 
浪 | 才 呆 习 少时 它 融 盖 丁 


= szyech yeh_i call63 cem》 


3 [EY Myuch 人 ch_scn8163. com> 


“一 
ychl53 hzyscNi63 =sm》 255 se=yertwblw aagnstere 
De POF Hiabul Directory Yorifie 已 i os 3SA yuklic key 
3 WO vehlé3 人 crochl63 cm a We 20%3/1024 IH/DSS key puir 
[3 ycail63 ChryucsQle. em 名 Tsu TH 
oo yehl53 heyeeHat63 crm) SS exyorlsble signutere 
Fb len orm) pp 


图 9-10” 密 钥 管 理 

@ 剪 切 板 信息 加 /解密 
实现 剪 切 板 信息 的 加 密 、 认 证 、 加 密 并 认证 、 解 密 等 操作 。 
@ 当前 窗口 信息 加 /解密 
可 实现 当前 窗口 信息 的 加 密 、 认 证 、 加 密 并 认证 、 解 密 等 操作 。 
@ 文件 的 加 /解密 与 安全 删除 “PGPmail) 
可 对 文件 独立 进行 加 /解密 。PGPmail 工具 栏 如 图 9-11 所 示 。 
@ PGP 加 密 磁盘 (PGPdisk) 
可 在 物理 硬盘 中 划 出 一 块 区 域 ， 由 PGP 作为 一 个 虚拟 磁盘 进行 管理 。 使 用 时 打开 ， 使 
用 完毕 加 密 关 闭 。 

(2) 在 Outlook 用 PGP 发 送 加 密 文件 

若 要 发 送 加 密 的 电子 邮件 ， 在 写 邮 件 时 必须 单 击 Encrypt Message (PGP) 按钮 使 其 处 
于 按 下 状态 ， 如 图 9-12 所 示 。 

单 击 “ 发 送 ” 按 钮 后 ， 将 提示 选择 加 密 用 的 公 钥 。 若 本 地 无 指定 公 钥 ， 则 将 自动 搜索 
PGP 的 公 钥 发 布 中 心 。 用 户 接 收 到 加 密 的 电子 邮件 后 ， 可 在 Outlook 工具 栏 中 单 击 Decrypt 
Message (PGP) 按钮 进行 解密 ， 解 密 时 要 求 提供 通行 码 。 也 可 以 通过 附件 发 送 加 密 后 的 文 
件 ， 文 件 一 般 用 PGPmail 实现 加 /解密 。 
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图 9-11 PGPmail 工具 栏 图 9-12 用 Outlook 发 送 加密 邮 件 


9.6 ”虚拟 专用 网 


虚拟 专用 网 (Virtual Private Network，VPN ) 是 指 将 物理 上 分 布 在 不 同 地 点 的 网 络 通 过 
公用 网 络 连 接 而 成 逻辑 上 的 虚拟 子 网 ， 并 采用 认证 、 访 问 控 制 、 机 密 性 、 数 据 完整 性 等 在 
公众 网 络 上 构建 专用 网 络 的 技术 ， 使 得 数据 通过 安全 的 “加 密 隧 道 ” 在 公用 网 络 中 传播 。 
也 就 是 利用 公用 网 络 (通常 是 因特网 ) 建立 一 个 临时 的 、 安 全 的 连接 ， 形 成 一 条 穿 过 混乱 
的 公用 网 络 的 安全 、 稳 定 的 隧道 ， 是 对 企业 内 部 网 的 扩展 。 在 虚拟 专用 网 中 ， 任 意 两 个 节 
点 之 间 的 连接 并 没有 传统 专 网 所 需 的 端 到 端的 物理 链 路 ， 而 是 利用 某 种 公用 网 的 资源 动态 
组 成 的 。 虚 拟 专 用 网 不 是 真 的 专用 网 络 ， 但 却 能 实现 专用 网 络 的 功能 。 


9.6.1 VPN 的 基本 原理 


VPN 是 在 公用 网 中 形成 的 企业 专用 链 路 。 为 了 形成 这 样 的 链 路 , 采用 了 所 谓 的 “隧道 ” 
技术 ， 如 图 9-13 所 示 。 可 以 模仿 点 对 点 连接 技术 ， 依 靠 Internet 服务 提供 商 ISP 和 其 他 的 
网 络 服务 提供 商 NSP 在 公用 网 中 建立 自己 专用 的 “隧道 ”， 让 数据 包 通 过 这 条 隧道 传输 。 
对 于 不 同 的 信息 来 源 ， 可 分 别 给 它们 开 出 不 同 的 隧道 。 


&. 


0 
图 9-13 ”VPN 的 隧道 技术 


这 里 的 “隧道 ”是 指 一 种 利用 公用 网 设施 ， 在 一 个 网 络 之 中 的 “网 络 ” 上 传输 数据 的 
方法 ， 被 传输 的 数据 可 以 是 另 一 种 协议 的 数据 帧 。 隧 道 协议 利用 附加 的 报头 封装 帧 ， 附 加 
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的 报头 提供 了 路 由 信息 ， 因 此 封装 后 的 包 能 够 通过 中 间 的 公用 网 。 封 装 后 的 数据 包 所 途经 
的 公用 网 的 逻辑 路 径 称 为 隧道 。 一 旦 封装 的 帧 到 达 了 公用 网 上 的 目的 地 ， 帧 就 会 被 解除 封 
装 并 被 继续 送 到 最 终 目 的 地 。 有 具体 过 程 如 图 9-14 所 示 。 
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图 9-14 IP-VPN 工作 原理 


VPN 网 络 中 通常 还 有 一 个 或 多 个 安全 服务 器 。 安 全 服务 器 除 提 供 防火 墙 和 地 址 转换 功 
能 之 外 ， 还 通过 与 隧道 设备 的 通信 来 提供 加 密 、 身 份 验证 和 授权 功能 。 它 们 通常 也 提供 各 
种 信息 ， 例 如 带宽 、 隧 道 端点 、 网 络 策略 和 服务 等 。 

虚拟 专用 网 一 般 应 提供 如 下 安全 功能 : 

(1) 加 密 数 据 ， 以 保证 通过 公用 网 传输 的 信息 即使 被 他 人 截获 也 不 会 泄露 。 

(2) 信息 认证 和 身份 认证 ， 保 证 信息 的 完整 性 、 合 法 性 ， 并 能 鉴别 用 户 的 身份 。 

(3) 提供 访问 控制 ， 不 同 的 用 户 有 不 同 的 访问 权限 。 

(4) 地 址 管理 。VPN 方案 必须 能 够 为 用 户 分 配 专用 网 络 上 的 地 址 ， 并 确保 地 址 的 安 
全 性 。 

(5) 密 钥 管理 。VPN 方案 必须 能 够 生成 并 更 新 客户 端 和 服务 器 的 加 密 密 钥 。 

(6) 多 协议 支持 。VPN 方案 必须 支持 因特网 上 普遍 使 用 的 基本 协议 ， 包 括 卫 、IPX 等 。 


9.6.2 ”VPN 的 应 用 环境 


根据 服务 类 型 ，VPN 业务 大 致 可 分 为 3 类 。 此 处 引用 Cisco 的 定义 方式 ， 将 3 种 用 
户 需求 定义 为 Intranet VPN、Access VPN 与 Extranet VPN， 分 别 应 用 在 不 同 的 网 络 服务 环 
境 中 。 

1. 内 部 网 VPN (Intranet VPN) 

内 部 网 即 企业 的 总 部 与 分 支 机 构 间 通过 公用 网 构筑 的 虚拟 网 。 这 种 类 型 的 连接 带 来 的 
风险 最 小 ， 因 为 公司 通常 认为 其 分 支 机 构 是 可 信 的 ， 并 将 它 作为 公司 网 络 的 扩展 。 内 部 
网 VPN 的 安全 性 取决 于 两 个 VPN 服务 器 之 间 的 加 密 和 验证 手段 。 如 图 9-15 所 示 为 一 典型 
的 内 部 网 VPN。 

2. 远程 访问 VPN (Access VPN) 

远程 访问 又 称 为 拨号 VPN〈( 即 VPDN)， 是 指 企业 员工 或 企业 的 小 分 支 机 构 通 过 公用 
网 以 远程 拨号 的 方式 构筑 的 虚拟 网 。 如 图 9-16 所 示 ， 典 型 的 远程 访问 VPN 是 用 户 通过 本 
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地 的 信息 服务 供应 商 ISP 登录 到 因特网 上 ， 并 在 所 在 的 办 公 室 和 公司 内 部 网 之 间 建 立 一 条 
加 密 信道 。 


加 密 隧道 
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EO 
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图 9-15 内 部 网 VPN 
公共 服务 器 
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图 9-16 远程 访问 VPN 

公司 往往 制定 一 种 “透明 的 访问 策略 ”雇员 即使 身 处 远方 也 能 像 他 们 坐 在 公司 总 部 的 
办 公 室 里 一 样 自由 地 访问 公司 的 资源 ; 为 方便 雇员 的 使 用 , 远程 访问 VPN 的 客户 端 应 尽量 
简单 ， 同 时 考虑 加 密 、 身 份 验证 过 滤 等 方法 的 使 用 。 

3. 外 联网 VPN (Extranet VPN) 

外 联网 即 企业 间 发 生 收 购 、 兼 并 或 企业 间 建 立 战 略 联盟 后 ， 不 同 企业 网 通过 公用 网 来 
构筑 的 虚拟 网 ， 如 图 9-17 所 示 。 它 能 保证 包括 TCP 和 UDP 服务 在 内 的 各 种 应 用 服务 的 安 
全 ， 例 如 E-mail、HTITP、FTP、RealAudio、 数 据 库 的 安全 以 及 一 些 应 用 程序 (例如 Java、 
ActiveX) 的 安全 。 
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VPN 服 务 器 防火墙 防火 墙 VPN 服 务 器 
图 9-17 外 联网 VPN 
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通常 把 Intranet VPN 和 Extranet VPN 统称 为 专线 VPN。 
9.6.3 VPN 协议 


VPN 区 别 于 一 般 网 络 互联 的 关键 在 于 “隧道 ”的 建立 ， 数 据 包 经 过 加 密 后 ， 按 隧道 协 
议 进行 封装 、 传 送 以 保证 其 安全 性 。VPN 中 的 隧道 是 由 隧道 协议 形成 的 ， 那 么 VPN 中 的 
关键 就 是 隧道 协议 。VPN 使 用 的 隧道 协议 主要 有 3 种 : 点 到 点 隧道 协议 PPTP、 第 二 层 隧 
道 协 议 L2TP 以 及 IPSec。PPTP 协议 允许 对 耳 、IPX 或 NetBEUI 数据 流 进行 加 密 ， 然 后 封 
装 在 PP 包头 中 通过 企业 IP 网 络 或 因特网 发 送 。L2TP 协议 允许 对 IP、IPX 或 NetBEUI 数据 
流 进行 加 密 ， 然 后 通过 支持 点 对 点 数据 报 传递 的 任意 网 络 发 送 ， 例 如 一 、X.25、 帧 中 继 或 
ATM。IPSec 隧道 模式 允许 对 卫 负载 数据 进行 加 密 ， 然 后 封装 在 PP 包头 中 通过 企业 IP 网 
络 或 公共 IP 因特网 发 送 。 本 节 只 对 PPTP 协议 和 L2TP 协议 作 一 简单 介绍 ， 关 于 IPSec 可 
参阅 9.7 节 。 

1. 点 到 点 隧道 协议 PPTP 

PPP 协议 主要 是 设计 用 来 通过 拨号 或 专线 方式 建立 点 对 点 连接 发 送 数据 ， 因 此 适合 
于 远程 访问 虚拟 专用 网 。 1996 年 , Microsoft 和 Ascend 等 在 PPP 协议 的 基础 上 开发 了 PPTP 

(Point-to-Point Tunneling Protocol)， 将 它 集成 在 Windows NT Server 4.0 中 ，Windows NT 
Workstation 和 Windows 9.x 也 提供 了 相应 的 客户 端 软件 .PPTP 支持 多 种 网 络 协议 , 可 把 人 P、 
IPX、AppleTalk 或 NetBEUI 的 数据 包 封装 在 PPP 包 中 ， 再 将 整个 报 文 封装 在 PPTP 隧道 协 
议 包 中 ， 最 后 再 能 入 IP 报 文 、 帧 中 继 或 ATM 中 进行 传输 。PPTP 提供 流量 控制 ， 减 少 拥塞 
的 可 能 性 ， 尽 量 避 免 由 包 丢弃 而 引发 包 重 传 的 数量 。PPTP 的 加 密 方法 采用 Microsoft 点 对 
点 加 密 MPPE (Microsoft Point-to-Point Encryption) 算法 ， 可 以 选用 较 弱 的 40 位 密 钥 或 强 
度 较 大 的 128 位 密 钥 。 

2. 第 二 层 隧 道 协 议 L2TP 

1996 年 ，Cisco 提出 L2F (Layer 2 Forwarding) 隧道 协议 。 它 也 支持 多 协议 ， 但 其 主 
要 用 于 Cisco 的 路 由 器 和 拨号 访问 服务 器 。1997 年 底 ，Micorosoft 和 Cisco 公司 把 PPTP 协 
议和 L2F 协议 的 优点 结合 在 一 起 ， 形 成 了 L2TP 〈Layer 2 Tunneling Protocol) 协议。 

L2TP 协议 综合 了 PPTP 协议 和 L2F 协议 的 优点 ， 并 且 支 持 多 路 隧道 ,这样 可 以 使 用 户 
同时 访问 Internet 和 企业 网 。 

PPTP 是 一 个 数据 链 路 层 的 协议 ,而 L2TP 是 一 种 网 络 层 协议 ,支持 封装 的 PPP 帧 在 全、 
X.25、 帧 中 继 或 ATM 等 网 络 上 进行 传送 。 当 使 用 人 P 作为 L2TP 的 数据 报 传输 协议 时 ， 可 
以 使 用 L2TP 作为 Internet 网 络 上 的 隧道 协议 。 

3. PPTP 与 L2TP 的 区 别 


PPTP 和 L2TP 都 使 用 PPP 协议 对 数据 进行 封装 , 然后 添加 附加 包头 用 于 数据 在 因特网 
上 的 传输 。 两 个 协议 功能 相似 ， 但 有 以 下 几 个 方面 的 不 同 。 
(1) PPTP 要 求 因 特 网 为 卫 网 络 ，L2TP 只 要 求 隧道 媒介 提供 面向 数据 包 的 点 对 点 的 
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连接 。L2TP 可 以 在 IP (使 用 UDP)、 帧 中 继 永 久 虚 拟 电路 (PVCs)、X.25 虚拟 电路 (VCs) 
或 ATM VCs 网 络 上 使 用 。 

(2) PPTP 只 能 在 两 端点 间 建 立 单一 隧道 ， 而 L2TP 支持 在 两 端点 间 使 用 多 隧道 。 使 
日 L2TP 时 ， 用 户 可 以 针对 不 同 的 服务 质量 创建 不 同 的 隧道 。 

(3) L2TP 可 以 提供 包头 压缩 。 当 压缩 包头 时 ， 系 统 开销 占用 4 个 字 节 ， 而 PPTP 协 
议 要 占用 6 个 字 节 。 

(4) L2TP 可 以 提供 隧道 验证 ， 而 PPTP 则 不 支持 隧道 验证 。 但 是 当 L2TP 或 PPTP 与 
IPSec 共同 使 用 时 ， 可 以 由 IPSec 提供 隧道 验证 ， 不 需要 在 第 二 层 协议 上 验证 隧道 。 


mn 


9.7 IPSec 


IPSec 在 了 P 层 提供 安全 服务 ， 使 得 系统 能 够 按 需 选择 安全 协议 ， 决 定 服务 所 使 用 的 算法 
及 放置 需求 服务 所 需 密 钥 到 相应 位 置 ， 通 常用 来 保护 一 条 或 多 条 主机 与 主机 间 、 安 全 网 关 与 
安全 网 关 间 、 安 全 网 关 与 主机 间 的 路 径 。IPSec 可 提供 的 安全 服务 集 包 括 访问 控制 、 无 连接 
的 完整 性 、 数 据 源 认证 、 拒 绝 重 发 包 ( 部 分 序列 完整 性 形式 )、 保 密 性 和 有 限 传输 流 保密 性 。 

IPSec 可 在 以 下 3 个 不 同 的 安全 领域 使 用 : 虚拟 专用 网 络 VPN、 应 用 级 安全 以 及 路 由 安 
全 。 目 前 ，IPSec 主要 用 于 VPN。 在 应 用 级 安全 或 路 由 安全 中 使 用 时 ，IPSec 还 不 是 一 个 完 
全 的 解决 方案 ， 必 须 与 其 他 安全 措施 配合 才能 更 具 效 率 ， 从 而 妨碍 了 它 在 这 些 领 域 的 部 署 。 

图 9-18 说 明了 IPSec 的 一 个 典型 应 用 场景 。 一 个 组 织 的 多 个 LAN 不 在 同一 地 点 ， 每 
个 LAN 内 部 的 通信 不 需要 特殊 的 保护 ， 而 LAN 同 不 可 信 网 络 间 的 通信 可 用 防火 墙 进行 保 
护 。 我 们 生活 在 一 个 分 布 式 的 和 移动 着 的 世界 ， 要 在 不 同 地 点 通过 Internet 访问 这 些 LAN 
提供 的 服务 ， 访 问 的 安全 性 就 要 由 IPSec 来 保证 。 图 中 工作 站 、 服 务 器 及 路 由 器 或 防火 墙 
等 网 络 设备 中 运行 了 IPSec 协议。 工作 站 为 访问 LAN， 先 同 网 络 设备 之 间 建 立 IPSec 隧道 ， 
保护 后 续 的 所 有 会 话 。 隧 道 建立 后 ， 工 作 站 可 与 安全 网 关 后 的 设备 进行 多 次 会 话 。 穿 过 
Internet 的 IP 包 受 IPSec 保护 ， 而 传递 过 程 与 普通 卫 包 一 样 。 
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图 9-18 IPSec 的 一 个 应 用 场景 


Ti 
第 9 章 Internet 安全 、VPN 和 IPSec 地 ) 


9.7.1 IP 安全 性 分 析 


TCP/IP 协议 复 提 供 了 一 个 开放 式 协议 平台 ， 正 将 越 来 越 多 的 部 门 和 人 员 用 网 络 连接 起 
来 ， 网 络 正 在 快速 地 改变 着 我 们 工作 和 生活 的 方式 ， 但 是 安全 性 的 缺乏 减 慢 了 联网 的 发 展 
速度 。 目 前 网 络 面临 的 各 种 威胁 包括 保密 数据 的 泄露 、 完 整 性 的 破坏 、 身 份 伪 装 和 拒绝 服 
务 等 。 而 目前 占 统治 地 位 的 TCP/IP 协议 是 IPv4, 它 在 设计 之 初 并 没有 考虑 安全 性 ， 只 是 为 
数据 通信 而 设计 。 而 在 TCP/IP 协议 的 体系 结构 中 ， 除 了 数据 链 路 层 外 ，TCP/IP 所 有 协议 
的 数据 都 是 以 卫 数据 报 的 形式 传输 的 , IP 数据 报 本 身 不 具备 任何 安全 特性 ， 从 而 导致 在 网 
络 上 传输 的 数据 很 容易 受到 各 种 各 样 的 攻击 。 因 此 ， 对 通信 双方 不 能 保证 收 到 的 他 数据 报 
的 真实 性 成 为 IPv4 最 大 的 安全 缺陷 。 

为 实现 IP 网 络 上 的 安全 ， 从 1995 年 开始 ，IETF 建立 了 一 个 Internet 安全 协议 工作 组 
负责 卫 安全 协议 和 密 钥 管理 机 制 的 制定 。 经 过 几 年 的 努力 ， 该 工作 组 提出 一 系列 的 协议 ， 
构成 一 个 安全 体系 ， 总 称 为 耻 Security Protocol， 简 称 为 IPSec。IPSec 是 IPv6 的 一 个 组 成 
部 分 ， 也 是 IPv4 的 一 个 可 选 扩展 协议 。IPSec 弥补 了 IPv4 在 协议 设计 时 缺乏 安全 性 考虑 的 
不 足 。 

IPSec 定义 了 一 种 标准 的 、 健 壮 的 以 及 包容 广泛 的 机 制 ， 可 用 它 为 卫 及 其 上 层 协议 提 
供 安 全 保证 。IPSec 的 目标 是 为 IPv4 和 IPv6 提供 具有 较 强 的 互 操作 能 力 、 高 质量 和 基于 密 
码 的 安全 功能 ， 在 P 层 实现 多 种 安全 服务 ， 包 括 访问 控制 、 数 据 完 整 性 、 数 据 源 验证 、 抗 
重播 、 机 密 性 等 。IPSec 通过 支持 一 系列 加 密 算法 ,例如 DES、 三 重 DES、IDEA、AES 等 ， 
确保 通信 双方 的 机 密 性 。 

可 以 把 IPSec 想象 成 是 位 于 TCP/IP 协议 栈 的 下 层 协议 。 该 层 由 每 台 机 器 上 的 安全 策略 
和 发 送 、 接 收 方 协商 的 安全 关联 (Security Association，SA) 进行 控制 。 安 全 策略 由 一 套 过 
滤 机 制 和 关联 的 安全 行为 组 成 。 如 果 一 个 数据 包 的 他 地址、 协议 、 端 口号 满足 一 个 过 滤 机 
制 ， 那 么 这 个 数据 包 将 要 遵守 关联 的 安全 行为 。 

IPSec 结合 密码 保护 服务 、 安 全 协议 组 和 动态 密 钥 管 理 来 实现 上 述 两 个 目标 , 不 仅 能 为 
企业 局 域 网 与 拨号 用 户 、 域 、 网 站 、 远 程 站 点 以 及 Extranet 之 间 的 通信 提供 强 有 力 且 灵活 
的 保护 ,而 且 还 能 用 来 筛选 特定 数据 流 。IPSec 基于 一 种 端 对 端的 安全 模式 ， 这 种 模式 有 一 
个 基本 前 提 假 设 , 就 是 假定 数据 通信 的 传输 媒介 是 不 安全 的 ， 因 此 通信 数据 必须 经 过 加 密 ， 
而 掌握 加 /解密 方法 的 只 有 数据 流 的 发 送 端 和 接收 端 ， 两 者 各 自负 责 相应 的 数据 加 /解密 处 
理 ， 而 网 络 中 其 他 只 负责 转发 数据 的 路 由 器 或 主机 无 须 支持 IPSec。 

IPSec 协议 不 是 一 个 单独 的 协议 ， 它 给 出 了 应 用 于 IP 层 上 网 络 数据 安全 的 一 整套 体系 
结构 。IPSec 主要 包括 两 个 安全 协议 AH (Authentication Header) 和 ESP (Encapsulating 
Security Payload) 及 密 钥 管 理 协议 (Internet Key Exchange，IKE)。AH 提供 无 连接 的 完整 
性 、 数 据 发 起 验证 和 重 放 保护 ，ESP 还 可 另外 提供 加 密 ， 密 钥 管 理 协 议 IKE 提供 安全 可 靠 
的 算法 和 密 钥 协 商 。 这 些 机 制 均 独 立 于 算法 ， 这 种 模块 化 的 设计 允许 只 改变 不 同 的 算法 而 
不 影响 实现 的 其 他 部 分 。 协 议 的 应 用 与 具体 加 密 算 法 的 使 用 取决 于 用 户 和 应 用 程序 的 安全 
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性 要 求 。 

IPSec 的 安全 特性 主要 有 : 

(1) 不 可 否认 性 。 不 可 否认 性 可 以 证 实 消息 发 送 方 是 唯一 可 能 的 发 送 者 ,发 送 者 不 能 
和 否认 发 送 过 消息 。 不 可 和 否认 性 是 采用 公 钥 技术 的 一 个 特征 ， 当 使 用 公 钥 技术 时 ， 发 送 方 用 
私 钥 产 生 一 个 数字 签名 随 消 息 一 起 发 送 ， 接 收 方 用 发 送 者 的 公 钥 来 验证 数字 签名 。 由 于 在 
理论 上 只 有 发 送 者 才 唯一 拥有 私 铀 ， 也 只 有 发 送 者 才 可 能 产生 该 数字 签名 ， 所 以 只 要 数字 
签名 通过 验证 ， 发 送 者 就 不 能 否认 曾 发 送 过 该 消息 。 但 不 可 和 否认 性 不 是 基于 认证 的 共享 密 
钥 技 术 的 特征 ， 因 为 在 基于 认证 的 共享 密 钥 技 术 中 ， 发 送 方 和 接收 方 掌握 相同 的 密 钥 。 

(2) 反 重 播 性 。 反 重播 确保 每 个 IP 包 的 唯一 性 ， 保 证 信息 万 一 被 截取 复制 后 ， 不 能 
再 被 重新 利用 、 重 新 传输 回 目的 地 址 。 该 特性 可 以 防止 攻击 者 截取 破译 信息 后 ， 再 用 相同 
的 信息 包 冒 取 非 法 访问 权 〔 即 使 这 种 冒 取 行为 发 生 在 数 月 之 后 )。 

(3) 数据 完整 性 。 防 止 传输 过 程 中 数据 被 算 改 ， 确 保 发 出 数据 和 接收 数据 的 一 致 性 。 
IPSec 利用 Hash 函数 为 每 个 数据 包产 生 一 个 加 密 校 验 和 ,接收 方 在 打开 包 前 先 计算 校 验 和 ， 
若 包 和 遭 算 改 导致 校 验 和 不 相符 ， 数 据 包 即 被 丢弃 。 

(4) 数据 可 靠 性 。 在 传输 前 ， 对 数据 进行 加 密 ， 可 以 保证 在 传输 过 程 中 ， 即 使 数据 包 
遭 截 取 ， 信 息 也 无 法 被 读 取 。 该 特性 在 IPSec 中 为 可 选项 ， 与 IPSec 策略 的 具体 设置 相关 。 

(5) 认证 。 数 据 源 发 送信 任 状 ， 由 接收 方 验证 信任 状 的 合法 性 ， 只 有 通过 认证 的 系统 
才 可 以 建立 通信 连接 。 


9.7.2 ”安全 关联 


1. 什么 是 安全 关联 

安全 关联 SA 是 终结 点 为 建立 安全 会 话 而 协商 的 身份 验证 与 加 密 方法 的 集合 ， 是 两 个 
应 用 IPSec 实体 〈 主 机 、 路 由 器 ) 间 的 一 个 单 向 逻辑 连接 ， 用 来 决定 保护 什么 、 如 何 保护 
以 及 谁 来 保护 通信 数据 。 它 规定 了 用 来 保护 数据 包 安全 的 IPSec 协议 、 转 换 方 式 、 密 钥 以 
及 密 钥 的 有 效 存在 时 间 等 。SA 连接 是 单 向 的 ， 要 么 对 数据 包 进 行 “ 进 入 ”保护 ， 要 么 进行 
“外 出 ”保护 。SA 用 一 个 三 元 组 (安全 参数 索引 SPI、IP 目的 地 址 、 安 全 协议 ) 唯一 标识 。 

(1) 安全 参数 索引 (Security Parameters Index，SPI): 分 配给 SA 的 一 个 位 串 ， 只 
本 地 有 效 。SPI 在 AH 和 ESP 报头 中 出 现 , 使 得 接收 系统 选择 SA 并 在 其 下 处 理 一 个 收 到 的 
报 文 。 

(2) 耳目 的 地 址 : 这 是 SA 的 目标 终点 地 址 ， 也 可 能 是 最 终 用 户 系 统 或 网 络 系统 ， 例 
如 防火 墙 或 路 由 器 。 

(3) 安全 协议 标识 符 (Security Protocol Identifier，SPI): 表明 关联 是 AH 或 ESP 安全 
关联 。 
因此 ， 在 任何 人 P 包 中 ，SA 都 是 通过 IPv4 或 IPv6 报头 中 的 目标 地 址 和 封装 扩展 报头 
(AH 或 ESP) 中 的 SPI 唯一 标识 的 。 
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2. SA 的 作用 


SA 提供 的 安全 服务 取决 于 所 选 的 安全 协议 (AH 或 ESP)、SA 模式 、SA 作用 的 两 端 
点 和 安全 协议 所 要 求 的 服务 。 

例如 ，AH 为 IP 数据 报 提 供 数据 源 验证 和 无 连接 完整 性 ， 此 外 ，AH 还 提供 了 抗 重播 
服务 。 接 收 端 是 否 需要 这 一 服务 ， 可 自行 决定 。AH 不 对 数据 包 进 行 加 密 ，ESP 则 可 提供 
加 密 和 验证 以 及 抗 重播 服务 。ESP 验证 的 数据 不 包括 外 部 他 头 ， 加 密 和 验证 服务 至 少 选择 
其 中 之 一 。 

ESP 为 SA 的 加 密 服务 提供 了 有 限 业 务 流 机 密 性 ， 隧道 模式 隐藏 了 数据 包 的 源 地 址 和 
最 终 目 的 地 址 ，ESP 数据 包 填充 后 ， 隐 藏 了 数据 包 的 真实 大 小 ， 进 而 隐藏 了 其 通信 特征 。 
移动 用 户 的 人 P 地 址 是 动态 分 配 的 ， 通 过 与 公司 的 作为 网 关 使 用 的 防火 墙 间 建立 隧道 模式 
ESP SA， 也 可 实现 业务 流 的 机 密 性 。 

3. SA 的 管理 

SA 管理 的 两 大 任务 就 是 创建 和 删除 。 SA 的 管理 既 可 手工 进行 , 也 可 通过 IKE 来 完成 。 

手工 方式 下 ， 安 全 参数 由 管理 员 按 安全 策略 手工 指定 、 手 工 维护 。 但 是 ， 手 工 维护 
容易 出 错 ， 而 且 手 工 建立 的 SA 没有 生存 周期 限制 ， 一 旦 建立 了 ， 就 不 会 过 期 ， 除 非 手工 
删除 。 

SA 的 自动 建立 和 动态 维护 是 通过 IKE 进行 的 。 如 果 安 全 策略 要 求 建立 安全 、 保 密 的 
连接 ， 但 却 不 存在 相应 的 SA，IPSec 的 内 核 则 启动 或 触发 IKE 协商 。 


9.7.3 IPSec 模式 


IPSec 有 两 种 模式 一 一 传输 模式 和 隧道 模式 。 传 输 模式 只 对 卫 分 组 应 用 IPSec 协议 ， 
对 卫 报头 不 进行 任何 修改 ， 只 能 应 用 于 主机 对 主机 的 IPSec 虚拟 专用 网 VPN 中 。 隧 道 模 
式 中 , IPSec 将 原 有 的 卫 分 组 封装 成 带 有 新 的 瑟 报头 的 IPSec 分 组 , 这 样 原 有 的 下 分 组 就 
被 有 效 地 隐藏 起 来 了 。 该 模式 主要 应 用 于 主机 到 网 关 的 远程 接 入 的 情况 。 

1， 传输 模式 

传输 模式 主要 用 于 主机 或 充当 主机 的 设备 之 间 的 端 对 端 连接 。 在 传输 模式 中 ，AH 和 
ESP 保护 的 是 传输 头 。 在 这 种 模式 中 ，AH 和 ESP 会 拦截 从 传输 层 到 网 络 层 的 数据 包 ， 并 
根据 具体 的 配置 提供 安全 保护 。 只 有 在 要 求 端 到 


端的 安全 保障 时 ， 才 能 使 用 IPSec 的 传输 模式 。 i | 
从 图 9-19 可 以 看 出 传输 模式 是 如 何 影响 AH pz ~ 
IPSec 连接 的 : 第 3 层 以 及 第 4 层 协议 头 被 分 开 ， 加 ~ a 
在 它们 之 间 添加 了 AH; 认证 可 以 保护 原始 他 协 人 | AH 2 
议 头 中 除了 可 变 字 段 以 外 的 其 他 部 分 。 < 一 一 一 一 认证 部 分 
图 9-20 给 出 了 ESP 传输 模式 。 同 样 ，IP 协 图 9-19 AH 传输 模式 


议 头 被 调整 到 数据 报 左边 ， 并 插入 ESP 协议 头 。 
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ESP 协议 尾 以 及 完整 性 检查 值 (Integrity Check Value，ICV) 附加 在 数据 报 末 端 。 如 果 需 要 
加 密 ( 在 AH 中 无 效 )， 仅 对 原始 数据 和 新 的 ESP 协议 尾 进行 加 密 。 认 证 从 ESP 协议 头 一 
直 延 伸 到 ESP 协议 尾 。 


原始 分 组 


> 下 头 和 数据 


卫 头 np rg ESP 尾 ICV 
[下 了 


图 9-20 ESP 传输 模式 


2. 隧道 模式 

在 数据 包 最 终 目的 地 不 是 安全 终点 的 情况 下 , 通常 需要 在 隧道 模式 下 使 用 IPSec。 假如 
安全 保护 能 力 需 要 由 一 个 设备 提供 ， 而 该 设备 并 非 数据 包 的 始 发 点 ， 或 者 数据 包 需 要 保密 
传送 到 实际 目的 地 不 同 的 另 一 个 目的 地 ， 便 需要 采用 隧道 模式 。 例 如 ， 当 一 台 主 机 为 了 获 
得 对 某 个 网 关 控 制 的 网 络 的 访问 而 与 这 些 网 关中 的 某 一 个 建立 连接 时 ， 就 可 以 使 用 IPSec 
隧道 模式 。 

在 隧道 模式 中 ， 不 是 将 原始 的 他 协议 头 移 到 最 左边 然后 插入 IPSec 协议 头 ， 而 是 复制 
原始 耳 协议 头 ， 并 将 复制 的 中 协议 头 移 到 数据 报 最 左边 作为 新 的 全 协议 头 。 随 后 ， 在 原 
始 卫 协议 头 与 IP 协议 头 的 副本 之 间 放 置 IPSec 协议 头 。 原 始 卫 协议 头 保持 原封 不 动 ， 并 
且 整 个 原始 卫 协议 头 都 被 认证 或 由 加 密 算法 进行 保护 。 也 就 是 说 ，IPSec 隧道 模式 的 数据 
库 包 有 两 个 卫 头 ， 即 内 部 了 头 和 外 部 卫 头 。 其 中 ， 内 部 头 由 主机 创建 ， 而 外 部 头 是 由 提 
供 安全 服务 的 那个 设备 添加 的 。 

在 隧道 模式 下 ， 整 个 原 数据 包 被 当 作 有 效 载 荷 封 装 了 起 来 ， 外 面 附 上 新 的 卫 报头 。 其 
中 “内 部 ”IP 报头 〈 原 IP 报头 ) 指定 最 终 的 信 源 和 信 宿 地 址 ， 而 “外 部 ”IP 报头 (新 全 
报头 ) 中 包含 的 常常 是 作 中 间 处 理 的 安全 网 关 地 址 。 

与 传输 模式 不 同 ， 在 隧道 模式 中 ， 原 卫 地 址 被 当 作 有 效 载荷 的 一 部 分 受到 IPSec 的 安 
全 保护 ， 另 外 ， 通 过 对 数据 加 密 ， 还 可 以 将 数据 包 目 的 地 址 隐藏 起 来 ， 这 样 更 有 助 于 保护 
端 到 端 隧道 通信 中 数据 的 安全 性 。 

ESP 隧道 模式 中 签名 部 分 (完整 性 检查 和 认证 部 分 ) 和 加 密 部 分 如 图 9-21 所 示 。ESP 
的 签名 不 包括 新 他 头 。 


新 了 ESP 原 卫 TCP/IP 数据 ESP ESP 
报头 | 报关 | 报头 | 报头 报 尾 “| 认证 报 尾 
| 
[一 加 密 部 分 


亡 完整 性 检查 部 分 〈 签 名 ) 
图 9-21 ESP 隧道 模式 
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图 9-22 标示 出 了 AH 隧道 模式 中 的 签名 部 分 。AH 隧道 模式 为 整个 数据 包 提供 完整 性 
检查 和 认证 ， 认 证 功能 优 于 ESP。 但 在 隧道 技术 中 ，AH 协议 很 少 单独 实现 ， 通 常 与 ESP 
协议 组 合 使 用 。 


新 P | AH | 原 P | TCP/AP 加 


| 
[完整 性 检查 部 分 签名) 
图 9-22 AH 隧道 模式 


9.7.4 认证 报头 


认证 报头 AH 可 为 瑟 通信 提供 无 连接 的 数据 源 认 证 、 数 据 完整 性 和 反 重播 保障 ， 保 护 
通信 和 免 受 算 改 ， 但 不 能 防止 窃听 ， 适 用 于 传输 非 机 密 数 据 。AH 的 工作 原理 是 在 每 一 个 数 
据 包 上 添加 一 个 身份 验证 报头 ， 此 报头 包含 一 个 带 密 钥 的 Hash 散 列 〈 可 以 将 其 当 作 数字 签 
名 ， 只 是 它 不 使 用 证 书 )， 此 Hash 散 列 在 整个 数据 包 中 计算 ， 因 此 对 数据 的 任何 更 改 将 至 
使 散 列 无 效 ， 这 样 就 提供 了 完整 性 保护 。 

AH 报头 的 位 置 在 卫 报头 和 传输 层 协 议 报 头 之 间 ， 如 图 9-23 所 示 。 认 证 报头 包括 认证 
数据 和 一 个 序列 号 ， 共 同 用 来 验证 发 送 方 身份 ， 确 保 数据 在 传输 过 程 中 没有 被 改动 ， 防 止 
受到 第 三 方 的 攻击 。IPSec 认证 报头 不 提供 数据 加 密 ， 信 息 将 以 明文 方式 发 送 。AH 可 以 单 
独 使 用 ， 也 可 以 与 ESP 协议 结合 使 用 。 


原 卫 IPSec | 传输 层 
报 六 (AH) 报头 数据 
报头 | TCP/UDP 


下 不 安全 因数 家 引 ”| ID | ”认证 数 太 
md | Ke | Sn ms | ath | 


图 9-23 AH 报头 


AH 报头 插 在 卫 报头 之 后 ，TCP、UDP 或 者 ICMP 等 上 层 协议 报头 之 前 ， 一 般 AH 为 
整个 数据 包 提 供 完整 性 检查 。 


9.7.5 ”封装 有 效 载荷 


封装 有 效 载荷 ESP 协议 主要 用 来 处 理 对 他 数据 包 的 加 密 , 对 认证 也 提供 某 种 程度 的 支 
持 。 也 就 是 说 ，ESP 为 卫 数据 包 提 供 完整 性 检查 、 认 证 和 加 密 ， 可 以 看 作 是 “超级 AH”， 
因为 它 提供 了 机 密 性 并 可 防止 算 改 。 
ESP 的 加 密 服 务 是 可 选 的 ， 但 如 果 启 用 加 密 ， 则 也 就 同时 选择 了 完整 性 检查 和 认证 。 
因为 如 果 仅 使 用 加 密 ， 入 侵 者 就 可 能 伪造 包 以 发 动 密码 分 析 攻 击 。 
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ESP 可 以 单独 使 用 ， 也 可 以 和 AH 结合 使 用 。 一 般 ESP 不 对 整个 数据 包 加 密 ， 而 是 只 
加 密 IP 包 的 有 效 载荷 部 分 ， 不 包括 瑟 头 。 但 在 端 到 端的 隧道 通信 中 ，ESP 需要 对 整个 数 
据 包 加 密 。 

如 图 9-24 所 示 ，ESP 报头 插 在 卫 报头 之 后 ，TCP 或 UDP 等 传输 层 协议 报头 之 前 。 


IPSec | 传输 层 
原 卫 | (FSP) 、 i ESP ESP ] 
5 报头 数据 i 
报头 | 报头 |TCPUDP | 内 是 让 和 
安全 参数 索引 已 ~ | 扩展 位 | 下 一 个 报头 认证 数据 
(SPD 序列 号 | 扩展 位 | 长 度 | (TCP/UDP) | (Hash 校 验 和 ) | 


图 9-24 ”ESP 报头 、 报 尾 和 认证 报 尾 
9.7.6 IPSec 安全 关联 的 建立 


1. Internet 密 钥 交 换 IKE 

j 台 IPSec 计算 机 在 交换 数据 之 前 ， 必 须 首 先 建立 某 种 约定 ， 这 种 约定 被 称 为 “安全 
关联 ”( 指 双方 需要 就 如 何 保护 信息 、 交 换 信息 等 公用 的 安全 设置 达成 一 致 ， 更 重要 的 是 ， 
必须 有 一 种 方法 ， 使 那 两 台 计 算 机 安全 
地 交换 一 套 密 钥 ， 以 便 在 它们 的 连接 中 少 py 
使 用 )。Intemet 密 钥 交换 如 图 9.25 所 示 。 “KE KE 

Internet 工程 任务 组 IETF 制定 的 安 
全 关联 标准 和 密 钥 交 换 解决 方案 IKE 负 
责 提供 一 种 方法 供 两 台 计 算 机 建立 安全 关联 SA。SA 对 两 台 计算 机 之 间 的 策略 协议 进行 编 
码 ， 指 定 它 们 将 使 用 哪些 算法 和 什么 样 的 密 钥 长 度 以 及 实际 的 密 钥 本 身 。 

IKE 主要 起 到 两 个 作用 : 安全 关联 的 集中 化 管理 ; 减少 连接 时 间 和 密 钥 的 生成 及 管理 。 

2. 建立 SA 


IKE 建立 SA 分 两 个 阶段 : 第 一 阶段 ， 协 商 创 建 一 个 通信 信道 IKE SA， 并 对 该 信道 进 
行 认证 ， 为 双方 进一步 的 IKE 通信 提供 机 密 性 、 数 据 完整 性 以 及 数据 源 认证 服务 ; 第 二 阶 
段 ， 使 用 已 建立 的 IKE SA 建立 IPSec SA。 分 两 个 阶段 来 完成 这 些 服务 ， 有 助 于 提高 密 
交换 的 速度 。 

第 一 阶段 协商 〈 主 模式 协商 ) 步骤 如 下 。 

(1) 策略 协商 

在 这 一 步 中 ， 就 4 个 强制 性 参数 值 进 行 协商 。 

@ 加 密 算法 : 选择 DES 或 3DES。 

@ hash 算法 : 选择 MD5 或 SHA。 

@ 认证 方法 : 选择 证 书 认 证 、 预 置 共 享 密 钥 认证 或 Kerberos V5 认证 。 


LV/ 


及 


图 9-25 ”Internet 密 钥 交换 
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由 Diffie-Hellman 组 的 选择 。 

(2) DH 交换 

虽然 名 为 “ 密 钥 交换 ” 但 事实 上 在 任何 时 候 , 两 台 通信 主机 之 间 都 不 会 交换 真正 的 密 
钥 , 它们 之 间 交 换 的 只 是 一 些 DH 算法 生成 共享 密 钥 所 需要 的 基本 材料 信息 。DH 交换 可 以 
是 公开 的 ， 也 可 以 受 保护 。 在 彼此 交换 过 密 钥 生 成 “材料 ”后 ， 两 端 主机 可 以 各 自生 成 完 
全 一 样 的 共享 “ 主 密 钥 ”， 保 护 紧 接 其 后 的 认证 过 程 。 

(3) 认证 

DH 交换 需要 得 到 进一步 认证 ， 如 果 认 证 不 成 功 ， 通 信 将 无 法 继续 下 去 。“ 主 密 钥 ” 结 
合 在 第 一 步 中 确定 的 协商 算法 ， 对 通信 实体 和 通信 信道 进行 认证 。 在 这 一 步 中 ， 整 个 待 认 
证 的 实体 载荷 ， 包 括 实体 类 型 、 端 口号 和 协议 ， 均 由 前 一 步 生 成 的 “ 主 密 钥 ”提供 机 密 性 
和 完整 性 保证 。 

第 二 阶段 协商 消息 受 第 一 阶段 SA 的 保护 ,任何 没有 第 一 阶段 SA 保护 的 消息 将 被 拒 收 。 
第 二 阶段 协商 建立 IPSec SA， 为 数据 交换 提供 IPSec 服务 ， 为 数据 传输 建立 安全 关联 。 第 
二 阶段 协商 〈 快 速 模式 协商 ) 步骤 如 下 。 

(1) 策略 协商 

双方 交换 保护 需求 : @ 使 用 哪 种 IPSec 协议 一 一 AH 或 ESP; @ 使 用 哪 种 Hash 算 
法 一 一 MD5 或 SHA; @ 是 否 要 求 加 密 ， 若 是 ， 选 择 加 密 算法 一 一 3DES 或 DES。 在 上 述 
3 方面 达成 一 致 后 ， 将 建立 起 两 个 SA， 分 别 用 于 入 站 和 出 站 通信 。 

(2) 会 话 密 铀 “材料 ”刷新 或 交换 

在 这 一 步 中 ， 将 生成 加 密 卫 数据 包 的 “会 话 密 钥 ”。 生 成 “会 话 密 钥 ”所 使 用 的 “ 材 
料 ” 可 以 和 生成 第 一 阶段 SA 中 “ 主 密 钥 ”的 相同 ， 也 可 以 不 同 。 如 果 不 作 特 殊 要 求 ， 只 
需要 刷新 “材料 ”后 ， 生 成 新 密 钥 即 可 。 若 要 求 使 用 不 同 的 “材料 ” 则 在 密 钥 生成 之 前 ， 
首先 进行 第 二 轮 的 DH 交换 。 

(3) 将 SA 和 密 钥 连 同 SPI 递交 给 IPSec 驱动 程序 ， 由 其 负责 监视 、 筛 选 和 保护 卫 


通信 

IPSec 驱动 程序 负责 监视 所 有 出 /入 站 的 IP 数据 包 ， 并 将 每 个 IP 数据 包 与 作为 卫 策略 
一 部 分 的 卫 筛选 器 相 匹 配 。 一 旦 匹配 成 功 ，IPSec 驱动 程序 便 会 通知 IKE 开始 安全 协商 。 

第 二 阶段 协商 过 程 与 第 一 阶段 协商 过 程 类 似 ， 不 同 之 处 在 于 在 第 二 阶段 中 ， 如 果 响 应 
超时 ， 则 自动 尝试 重新 进行 第 一 阶段 SA 协商 。 

第 一 阶段 SA 建立 起 安全 通信 信道 后 保存 在 高 速 缓存 中 ， 在 此 基础 上 可 以 建立 多 个 第 
二 阶段 SA 协商 ， 从 而 提高 整个 建立 SA 的 速度 。 只 要 第 一 阶段 SA 不 超时 ， 就 不 必 重 复 第 
一 阶段 的 协商 和 认证 。 人 允许 建立 的 第 二 阶段 SA 的 个 数 由 IPSec 策略 属性 决定 。 

3. IPSec 的 体系 结构 


(1) IPSec 驱动 程序 
IPSec 驱动 程序 负责 监视 、 利 选 和 保护 卫 通 信 , 可 监视 所 有 出 /入 站 的 卫 数据 包 ， 并 将 
每 个 卫 数据 包 与 作为 卫 策略 一 部 分 的 卫 筛选 器 相 匹 配 。 一 旦 匹配 成 功 ，IPSec 驱动 程序 
便 会 通知 IKE 开始 安全 协商 。 图 9-26 为 IPSec 驱动 程序 服务 示意 图 。 
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了 全 过 滤器 
列表 
ee ED IPSec 驱动 程序 
查询 匹配 
受 保护 的 数据 包 


图 9-26 IPSec 驱动 程序 服务 


在 安全 协商 成 功 完成 后 ， 发 送 端的 IPSec 驱动 程序 执行 以 下 步骤 。 

@ 从 IKE 处 获得 SA 和 会 话 密 钥 。 

@ 在 IPSec 驱动 程序 数据 库 中 查找 相 匹 配 的 出 站 SA， 并 将 SA 中 的 SPI 插入 IPSec 
报头 。 

@ 对 数据 包 进行 签名 、 完 整 性 检查 ， 如 果 要 求 加 密 保护 ， 则 另外 加 密 数据 包 。 

@ 将 数据 包 随 同 SPI 发 送 至 IP 层 ， 然 后 进一步 转发 至 目的 主机 。 

接收 端的 IPSec 驱动 程序 执行 以 下 步骤 。 

@ 从 IKE 处 获得 会 话 密 钥 、SA 和 SPI。 

@ 通过 目的 地 址 和 SPI 在 IPSec 驱动 程序 数据 库 中 查找 相 匹 配 的 入 站 SA。 

@ 检查 签名 ， 对 数据 包 进 行 解密 (如 果 是 加 密 包 的 话 )。 

@ 将 数据 包 递交 给 TCP/IP 驱动 程序 ， 然 后 再 交 给 接收 应 用 程序 。 

(2) IPSec 体系 结构 模型 

在 分 别 介绍 了 IKE 密 钥 管理 和 IPSec 驱动 程序 后 ， 来 看 一 个 完整 的 IPSec 体系 结构 模 

型 (如 图 9-27 所 示 )， 以 便 更 好 地 理解 IPSec 体系 结构 。 


SA 协商 
机 A i 
TCP/IP 传 输 层 |- SA 对 WE TCP/IP 传 输 层 
IPSec 驱动 程序 IPSec 驱动 程序 
受 保护 的 也 数据 包 
LTEILINIILI 


图 9-27 IPSec 流程 图 


为 简单 起 见 ， 假 设 这 是 一 个 Intranet 例子 ， 每 台 主 机 都 有 处 于 激活 状态 的 IPSec 策略 。 
@ 用 户 甲 (在 主机 A 上 ) 向 用 户 乙 〈 在 主机 了 B 上 ) 发 送 一 个 消息 。 
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@ 主机 A 上 的 IPSec 驱动 程序 检查 卫 筛选 器 ， 查 看 数据 包 是 否 需 要 受 保 护 以 及 需要 
受到 何 种 保护 。 

@ 驱动 程序 通知 IKE 开始 安全 协商 。 

@ 主机 B 上 的 IKE 收 到 请 求 安全 协商 通知 。 

@ 两 台 主机 建立 第 一 阶段 SA， 各 自生 成 共享 “ 主 密 钥 ”。 值 得 注意 的 是 ， 若 两 机 在 此 
前 通信 中 已 经 建立 起 第 一 阶段 SA， 则 可 直接 进行 第 二 阶段 SA 协商 。 

@ 协商 建立 第 二 阶段 SA 对 : 入 站 SA 和 出 站 SA。SA 包括 密 钥 和 SPI。 

@ 主机 A 上 的 IPSec 驱动 程序 使 用 出 站 SA 对 数据 包 进 行 签名 完整 性 检查 ) 与 /或 
加 密 。 

@ 驱动 程序 将 数据 包 递交 瑟 层 ， 再 由 瑟 层 将 数据 包 转 发 至 主机 B。 

@ 主机 B 的 网 络 适配器 驱动 程序 收 到 数据 包 ， 并 提交 给 IPSec 驱动 程序 。 

@ 主机 B 上 的 IPSec 驱动 程序 使 用 入 站 SA 检查 完整 性 签名 与 /或 对 数据 包 进 行 解 密 。 

@ 驱动 程序 将 解密 后 的 数据 包 提交 上 层 TCP/IP 驱动 程序 , 再 由 TCP/IP 驱动 程序 将 数 
据 包 提交 主机 B 的 接收 应 用 程序 。 

以 上 是 IPSec 的 一 个 完整 工作 流程 ， 虽 然 看 起 来 很 复杂 ， 但 所 有 操作 对 用 户 是 完全 透 
明 的 。 中 介 路 由 器 或 转发 器 仅 负 责 数据 包 的 转发 ， 如 果 中 途 遇 到 防火 墙 、 安 全 路 由 器 或 代 
理 服务 器 ， 则 要 求 它们 具有 下 转发 功能 ， 以 确保 IPSec 和 IKE 数据 流 不 会 遭 到 拒绝 。 

这 里 需要 指出 的 一 点 是 ， 使 用 了 PSec 保护 的 数据 包 不 能 通过 网 络 地 址 译 码 NAT。 因 为 
IKE 协商 中 所 携带 的 了 P 地 址 是 不 能 被 NAT 改变 的 ， 对 地 址 的 任何 修改 都 会 导致 完整 性 检 
查 失 效 。 


小 结 


TCP/IP 即 传输 控制 协议 /网 际 协 议 , 是 Internet 上 使 用 的 一 组 完整 的 标准 网 络 连接 协议 。 
TCP/IP 的 层次 不 同 提供 的 安全 性 也 不 同 ， 例 如 在 网 络 层 提供 虚拟 专用 网 络 ， 在 传输 层 提供 
安全 套 接 服务 。TCP/IP 协议 模型 的 网 络 安全 贯穿 于 各 个 层次 ， 即 网 络 接口 层 、 网 际 层 、 传 
输 层 和 应 用 层 。 为 此 ,基于 TCP/IP 分 层 的 网 络 安全 服务 也 是 分 层 的 ， 不 同 层次 的 网 络 服务 
是 不 同 的 ， 应 用 中 需要 分 层 进 行 配置 。 

万 维 网 WWW 是 一 个 在 Internet 上 运行 的 分 布 式 的 信息 服务 系统 ， 是 一 个 大 规模 、 联 
机 式 的 信息 储藏 所 。 它 由 遍布 全 世界 的 数 以 万 计 的 Web 站 点 组 成 。Web 赖 以 生成 的 环境 包 
括 计 算 机 硬件 、 操 作 系 统 、 计 算 机 网 络 、 许 多 的 网 络 服务 和 应 用 ， 所 有 这 些 都 存在 着 安全 
隐患， 最 终 威胁 到 Web 的 安全 。 对 于 Web 服务 的 安全 性 ， 一 定 要 考虑 到 所 有 这 些 方面 ， 因 
为 它们 是 相互 联系 的 ， 每 个 方面 都 会 影响 到 Web 服务 的 安全 性 ， 它 们 中 安全 性 最 差 的 决定 
了 给 定 服务 的 安全 级 别 。 

电子 商务 包含 两 方面 内 容 ， 一 是 电子 方式 ， 二 是 商贸 活动 。 电 子 商务 所 面临 威胁 的 出 
现 导 致 了 对 电子 商务 安全 的 需求 ， 也 是 真正 实现 一 个 安全 电子 商务 系统 所 要 求实 现 的 各 个 
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特性 ， 主 要 包括 机 密 性 、 完 整 性 、 认 证 性 和 不 可 抵赖 性 。 

目前 的 网 络 攻击 模式 呈现 多 方位 、 多 手段 化 ， 让 人 防不胜防 。 概 括 来 说 分 为 4 大 类 : 
拒绝 服务 攻击 、 利 用 型 攻击 、 信 息 收 集 型 攻击 、 假 消息 攻击 。 

电子 邮件 是 Internet 上 最 常用 的 功能 之 一 ， 用 户 可 以 通过 Internet 交换 邮件 形式 的 信息 
文件 。 当 前 电子 邮件 系统 的 发 展 面临 着 机 密 泄漏 、 信 息 欺 骗 、 病 毒 侵扰 、 垃 圾 邮件 等 诸多 
安全 问题 的 困扰 。 

虚拟 专用 网 VPN 是 指 将 物理 上 分 布 在 不 同 地 点 的 网 络 通 过 公用 网 络 连接 而 成 逻辑 上 
的 虚拟 子 网 ， 并 采用 认证 、 访 问 控制 、 机 密 性 、 数 据 完整 性 等 在 公用 网 络 上 构建 专用 网 络 
的 技术 ， 使 得 数据 通过 安全 的 “加 密 隧道 ”在 公用 网 络 中 传播 。 

IPSec 在 IP 层 提供 安全 服务 ， 使 得 系统 能 够 按 需 选择 安全 协议 ， 决 定 服务 所 使 用 的 算 
法 及 放置 需求 服务 所 需 密 钥 到 相应 位 置 ， 用 来 保护 一 条 或 多 条 主机 与 主机 间 、 安 全 网 关 与 
安全 网 关 间 、 安 全 网 关 与 主机 间 的 路 径 。IPSec 可 提供 的 安全 服务 集 包 括 访问 控制 、 无 连接 
的 完整 性 、 数 据 源 认证 、 拒 绝 重 发 包 (部 分 序列 完整 性 形式 )、 保密 性 和 有 限 传输 流 保密 性 。 


练习 与 思考 


简 述 TCP/IP 协议 的 层次 安全 。 

简 述 Web 的 安全 需求 。 

什么 是 电子 商务 ? 简 述 安全 电子 商务 体系 结构 。 
什么 是 SSL? 它 的 结构 如 何 ? 

什么 是 SET? 简 述 SET 协议 的 支付 过 程 。 

简 述 网 络 攻击 的 类 型 和 流程 。 

电子 邮件 存在 哪些 安全 威胁 ? 如 何 防范 ? 
什么 是 VPN? 它 是 如 何 解决 安全 问题 的 ? 简 述 它 的 工作 原理 。 
什么 是 IPSec? 什么 是 安全 关联 ? 

10. 评价 IPSec 的 两 种 实现 机 制 。 

11. 比较 AH 和 ESP 协议 报 文 格式 的 异同 。 


= 


无 线 网 络 安全 


本 章 学 习 要 求 : 

(1) 掌握 无 线 网 络 标准 。 

(2) 掌握 无 限 局 域 网 有 线 等 价 保密 机 制 。 
(3) 掌握 无 线 局 域 网 有 线 等 价 安全 漏洞 。 
(4) 了 解 无 线 局 域 网 安全 威胁 。 

(5) 了 解 无 线 保护 接 入 安全 机 制 。 


重点 和 难点 


(1) 重点 : 无 线 网 络 标准 。 
(2) 难点 : 无 线 局 域 网 有 线 等 价 保密 安全 机 制 。 


采用 双 绞 线 、 同 轴 电 缆 或 光纤 等 传输 介质 实现 数据 通信 的 网 络 称 为 有 线 网 络 ， 采 用 无 
线 链 路 实现 数据 通信 的 网 络 则 称 为 无 线 网 络 。 随 着 移动 电话 、 个 人 数字 助理 、 笔 记 本 电脑 、 
掌上 计算 机 等 各 种 便携 式 终端 的 迅速 发 展 ， 为 移动 计算 提供 支撑 环境 、 可 以 随时 随地 进行 
通信 的 无 线 网 络 日 益 受 到 重视 。 相 对 于 有 线 网 络 ， 无 线 网 络 为 用 户 提供 便利 性 的 同时 ， 也 
为 基于 无 线 链 路 和 智能 移动 终端 蓄意 破坏 、 算 改 、 窃 听 、 假 冒 、 泄 露 和 非法 访问 信息 资源 
的 各 种 恶意 行为 提供 了 方便 。 因 此 ， 无 线 网 络 比 有 线 网 络 存 在 更 多 的 安全 隐患 和 威胁 。 此 
外 ， 由 于 无 线 网 络 本 身体 系 结构 复杂 、 传 输 速率 慢 、 信 号 易 受 干扰 、 安 全 隐患 多 、 通 信和 成 
本 高 等 固有 的 局 限 性 ， 目 前 有 线 网 络 仍然 是 计算 机 网 络 的 主体 ， 无 线 网 络 只 是 有 线 网 络 的 
补充 ， 主 要 用 于 不 便 布线 和 要 求 移动 计算 的 场合 。 

无 线 网 络 技术 是 当前 网 络 技术 发 展 和 应 用 的 热点 和 重要 方向 , 本 章 将 对 无 线 网 络 标准 、 
无 线 局 域 网 有 线 等 价 保密 机 制 、 无 线 局 域 网 有 线 等 价 保密 安全 漏洞 、 无 线 局 域 网 安全 威胁 、 
无 线 保护 接 入 安全 机 制 等 进行 综合 分 析 。 


多 计算 机 网 络 安全 技术 与 应 用 


10.1 无 线 网 络 标准 


无 线 通信 网 络 根据 应 用 领域 可 分 为 蜂窝 移动 通信 网 、 无 线 局 域 网 、 无 线 个 人 区 域 网 和 
无 线 城 域 网 多 种 类 型 ， 而 随 着 无 线 通信 技术 的 迅速 发 展 ， 也 出 现 了 多 种 无 线 通信 网 络 标准 。 
蜂窝 移动 通信 正在 从 广泛 使 用 的 全 球 移动 通信 系统 、 码 分 多 址 、 通 用 分 组 无 线 业 务 向 国际 
移动 电信 第 三 代 移 动 通信 标准 过 渡 ， 无 线 局 域 网 有 IEEE 802.11、IEEE 802.11a、IEEE 
802.11b、IEEE 802.11g 和 满足 多 媒体 数据 业务 需求 的 高 性 能 无 线 局 域 网 标准 ， 无 线 个 人 区 
域 网 包括 无 线 家 庭 网 和 蓝牙 短 距 离 无 线 网 标准 ， 面 向 大 范围 覆盖 的 无 线 城 域 网 标准 IEEE 
802.16 也 在 逐步 实施 之 中 。 


10.1.1 第 二 代 蜂 离 移动 通信 网 


20 世纪 70 年 代 诞 生 的 模拟 蜂窝 移动 通信 系统 是 第 一 代 (1G) 移动 通信 系统 ， 采 用 模 
拟 信号 传输 方式 实现 语音 业务 , 使 用 频 分 多 址 (Frequency Division Multiple Address, FDMA) 
接 入 技术 划分 信道 。 由 于 1G 系统 存在 诸如 频谱 利用 率 低 、 语 音质 量 差 、 接 入 容量 小 、 保 
密 性 差 和 不 能 提供 数据 通信 服务 等 先天 不 足 ， 目 前 已 被 数字 蜂窝 移动 通信 系统 取代 ， 形 成 
了 和 获 盖 全 球 的 第 二 代 〈2G) 移动 通信 网 。 目 前 2G 移动 通信 系统 主要 有 全 球 移动 通信 系统 

(Global System for Mobile Communication，GSM) 和 人 码 分 多 址 (Code Division Multiple 
Access，CDMA) 两 大 移动 通信 标准 。 

1 全球 移动 通信 系统 GSM 标准 

1991 年 欧洲 电信 标准 协会 “European Telecommunication Standard Institute，ETSI) 推 
出 了 GSM 泛 欧 数字 蜂窝 移 动 通信 标准 ， 不 仅 提 供 了 移动 电话 语音 服务 ， 还 提供 了 紧急 呼 
叫 、 短 消息 、 语 音信 箱 、 可 视图 文 等 多 种 数据 服务 。GSM 采用 时 分 多 址 (Time Division 
Maultiple Address，TDMA) 窄带 标准 ， 可 以 分 别 工 作 在 900MHz、1800MHz 和 1900MHz 
三 个 不 同 频段 ,其 中 900MHz 频段 又 分 为 EGSM 900MHz 和 GSM 900MHz 两 个 频段 .EGSM 
900MHz 频段 的 上 行 、 下 行 频率 分 别 为 880 一 890MHz 和 925 一 935MHz，GSM 900MHz 频 
段 的 上 行 、 下 行 频率 分 别 为 890 一 915MHz 和 935 一 960MHz, 双 工 间隔 为 45MHz。1800MHz 
频段 的 上 行 、 下 行 频率 分 别 为 1710 一 1785MHz 和 1805 一 1880MHz， 双 工 间隔 为 95MHz。 
1900MHz 频段 的 上 行 、 下 行 频率 分 别 为 1850 一 1910MHz 和 1930 一 1990MHz， 双 工 间 隔 为 
80MHz。GSM 标准 最 大 可 提供 9.6Kbps 的 数据 传输 速率 ， 我 国 和 世界 上 其 他 170 多 个 国家 
采用 GSM 标准 ， 其 中 我 国 、 欧 洲 和 东南 亚 地 区 都 采用 900MHz 和 1800MHz 频段 。GSM 
900MHz 频段 的 频 分 双 工 频谱 分 配 如 图 10-1 所 示 。 
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双 工 间隔 下 行 


图 10-1 GSM 频 分 双 工 频谱 分 配 

上 行 和 下 行 载波 频率 各 占用 25MHz 带宽 , 移动 电话 的 接收 频率 比 发 射频 率 高 ,构成 一 
个 频 分 双 工 信道 。 在 25MHz 带宽 内 分 成 124 个 载波 信道 ， 每 个 载波 信道 占用 200kHz 的 带 
宽 。 载 波 信道 又 分 成 8 个 TDMA 时 际 , 每 个 时 际 宽度 为 0.578ms。 时 隙 就 是 TDMA 物理 意 
义 上 的 信道 。 

2. 码 分 多 址 CDMA 标准 

FDMA 以 不 同 频率 区 分 移动 电话 地 址 ， 其 特点 是 频带 独占 ， 而 时 间 资 源 共享 ，TDMA 
采用 不 同时 隙 区 分 地 址 ， 特 点 是 时 隙 独占 ， 而 频率 资源 共享 ; CDMA 则 采用 不 同 码 型 区 分 
地 址 ， 特 点 是 码 型 独占 ， 而 频率 和 时 间 资 源 共享 。 由 于 分 配给 移动 电话 的 地 址 码 型 具有 唯 
一 性 ，CDMA 系统 就 能 够 在 同一 时 间 和 同一 频率 下 实现 通信 ， 因 而 拥有 巨大 的 通信 容量 。 
如 图 10-2 所 示 为 采用 频率 划分 前 向 和 反 向 信道 的 CDMA 码 分 信道 ， 基 站 对 移动 电话 方向 
为 前 向 信道 ， 其 载波 频率 为 i， 移动 电话 对 基站 方向 为 反 向 信道 ， 载 波 频率 为 f。 每 个 移动 
用 户 分 配 一 个 地 址 码 型 Ci， 且 不 同 地 址 码 型 C1、Cs、…、GCi、…、Cxk 相 互 正 交 。 地 址 码 型 
和 移动 用 户 具 有 一 一 对 应 关系 ， 因 此 利用 地 址 码 型 就 可 以 实现 选 址 通信 。 在 蜂 窜 移 动 通信 
系统 中 , 为 了 充分 利用 信道 资源 ,地 址 码 型 是 由 基站 通过 信 令 信道 动态 分 配给 移动 用 户 的 。 
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图 10-2 CDMA 频 分 双 工 码 分 信道 

CDMA 系统 采用 了 扩 频 通信 (Spread Spectrum) 技术 ， 扩 频 通 信 就 是 扩展 基带 信号 的 
频谱 ， 其 带宽 通常 是 基带 信和 号 频带 的 100 一 1000 倍 。 扩 频 通 信 具 有 很 强 的 信号 抗 干 扰 能 力 ， 
而 且 扩 频 信号 的 频谱 接近 白 噪声 ， 有 利于 信号 隐蔽 和 通信 保密 。 早 期 扩 频 通信 主要 用 于 军 
事 通 信 ， 随 着 扩 频 通信 技术 的 发 展 ， 目 前 已 广泛 用 于 民用 移动 通信 。 扩 频 通信 的 理论 基础 
是 下 面 给 出 的 著名 香农 (Shannon) 定理 ; 

S 
C= Hlog;, ( 局] 


其 中 ，C 表示 信道 容量 或 信道 的 极限 信息 传输 速率 ，H 为 信号 带宽 ，S 是 信道 内 信号 
的 平均 功率 ，N 是 信道 内 高 斯 噪声 功率 。 

香农 定理 说 明 ， 在 保持 信道 信息 传输 速率 不 变 的 前 提 下 ， 扩 展 信号 带宽 就 相当 于 提高 
了 信和 号 的 信 噪 比 ， 增 强 了 信和 号 的 抗 干扰 能 
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目前 广泛 使 用 的 扩 频 技术 主要 有 直 序 扩 频 (Direct Sequence Spread Spectrum，DSSS ) 
和 跳 频 扩 频 (Frequency Hopping Spread Spectrum，FHSS)。DSSS 在 发 送 端 使 用 伪 随 机 码 扩 
展 信号 频谱 , 接收 端 使 用 相同 的 伪 随 机 码 将 扩 频 信号 恢复 成 基带 信号 。 FHSS 也 使 用 伪 随 机 
码 扩展 信号 频谱 ,但 扩 频 方法 与 DSSS 不 同 。FHSS 首先 用 伪 随 机 码 形成 跳 频 指令 ， 跳 频 指 
令 控制 载波 频率 在 跳 频带 宽 内 随机 跳 变 ， 达 到 扩展 信号 频谱 的 目的 。 

美国 Qualcomm 公司 提出 的 Q-CDMA 是 世界 上 第 一 个 商用 CDMA 数字 蜂窝 移动 通信 
系统 ， 后 经 美国 电信 工业 协会 批准 成 为 CDMA/IS-95 标准 。 其 前 向 信道 、 反 向 信道 的 频段 
分 别 为 869 一 894MHz 和 824 一 949MHz， 载 波 间隔 为 1.25MHz， 最 大 可 提供 9.6Kbps 的 数 
据 传输 速率 。 


10.1.2 通用 分 组 无 线 业务 网 


GSM 和 CDMA 都 是 典型 的 电路 交换 数字 蜂窝 移动 通信 标准 , 随 着 Internet 的 迅速 发 展 ， 
基于 IP 分 组 交换 的 数据 传输 必然 成 为 无 线 通信 的 发 展 目标 。 但 IP 移动 通信 需要 一 个 逐步 
成 熟 的 过 程 ,为 此 诞生 了 过 渡 阶 段 的 2.5G 移动 通信 标准 。 欧 洲 电 信 标 准 协会 提出 的 通用 分 
组 无 线 业务 (General Packet Radio Service，GPRS) 是 典型 的 2.5G 移动 通信 标准 之 一 ， 采 
用 分 组 交换 传输 模式 ， 以 语音 通信 为 主 ， 数 据 通信 为 辅 ， 最 大 可 提供 171.2Kbps 的 数据 传 

GPRS 是 在 GSM 移动 通信 系统 的 基础 上 提供 的 分 组 无 线 业 务 标准 ， 是 GSM 迈 向 3G 
的 重要 步骤 。GPRS 与 GSM 具有 相同 的 频段 、 双 工 间隔 、 频 带宽 度 、 载 频 间 隔 和 TDMA 
帧 结构 ， 但 现 有 的 GSM 移动 终端 不 能 直接 在 GPRS 中 使 用 。 由 于 采用 了 分 组 交换 技术 ， 
用 户 只 在 数据 通信 期 间 占 用 信道 资源 , 在 提高 信道 资源 利用 率 的 同时 ， 也 为 按 通信 数据 量 、 
业务 类 型 和 服务 质量 计 费 葛 定 了 基础 。GPRS 支持 Internet 上 应 用 广泛 的 全 协议 和 X.25 协 
议 , 能 够 无 线 接 入 Internet 和 其 他 分 组 网 络 。 目 前 世界 上 已 有 近 百 个 移动 运营 商 开 通 了 GPRS 
商用 系统 ， 中 国 移动 通信 集团 公司 也 于 2002 年 5 月 17 日 正式 推出 了 GPRS 商用 服务 。 


10.1.3 第 三 代 蜂 高 移 动 通 信和 网 


国际 电信 联盟 (International Telecommunication Union，ITU) 早 在 1985 年 就 提出 了 第 
三 代 (3G ) 移 动 通信 的 锥 形 , 当时 称 为 未 来 公众 陆地 移动 电信 系统 (Future Public Land Mobile 
Telecommunication Systems，FPLMTS)，1996 年 ITU 将 其 正式 更 名 为 国际 移动 电信 -2000 

(CInternational Mobile Telecommunication-2000，IMT-2000)， 隐 含 的 意义 是 3G 移动 通信 工 
作 在 2000MHz 频段 并 于 2000 年 实现 商用 。 尽 管 GSM 和 CDMA 形成 了 全 球 2G 移动 通信 
的 主流 标准 ， 但 不 同 国家 和 运营 商 使 用 的 标准 和 频段 仍然 有 很 大 差异 ， 很 难 实现 移动 用 户 
的 全 球 漫游 。 有 鉴于 此 ，IMT-2000 希望 在 全 球 范围 内 统一 标准 和 频段 ， 为 实现 全 球 无 缝 漫 
游 消除 障碍 ;在 提高 频谱 利用 率 的 同时 ， 提 供 文本 、 语 音 、 音 乐 、 图 像 、 视 频 等 多 媒体 移 
动 通信 服务 ， 并 根据 不 同 移动 用 户 的 需求 ， 分 别 支持 2Mbps、384Kbps 和 144Kbps 的 数据 
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传输 速率 。 当 移动 速度 小 于 10km/h 时 ， 提 供 2Mbps 的 数据 传输 速率 ; 小 于 120km/h 时 ， 
提供 384Kbps 的 速率 ， 大 于 120km/h 时 ， 能 够 支持 144Kbps 的 速率 。 由 此 可 以 看 出 ， 统 一 
标准 和 频段 、 提 高 频谱 利用 率 和 支持 多 媒体 移动 通信 正 是 3G 移动 通信 与 2G 的 主要 区 别 。 

由 于 移动 通信 标准 直接 影响 国家 、 运 营 商 和 移动 终端 生产 厂商 的 经 济 利益 ，ITU 在 协 
调 多 方 利益 的 基础 上 ， 于 2000 年 5 月 从 10 个 3G 移动 通信 候选 方案 中 确定 了 5 个 推荐 标 
准 ， 其 中 欧洲 提出 的 宽带 WCDMA (Wideband CDMA)、 美 国 提出 的 CDMA2000 和 中 国 制 
定 的 时 分 同步 TD-SCDMA (Time Division-Synchronous CDMA) 最 有 可 能 成 为 未 来 3G 移 
动 通信 的 主流 标准 ,其 中 WCDMA 和 CDMA2000 采 用 频 分 双 工 (Frequency Division Duplex， 
FDD) 信道 ，TD-SCDMA 采用 时 分 双 工 (Time Division Duplex，TDD) 信道 。 

WCDMA 的 支持 者 主要 是 欧洲 、 日 本 等 国家 的 GSM 网 络 运 营 商 和 生产 厂商 ， 能 够 在 
现 有 GSM 网 络 基础 上 , 途经 GPRS 逐步 过 渡 到 3G 移动 通信 .CDMA2000 是 在 CDMA/IS-95 
基础 上 制定 的 标准 系列 ， 包 括 CDMA2000 1X、CDMA2000 1X EVDO、CDMA2000 1X 
EV-DV 和 CDMA2000 3X 多 个 子 标准 ， 计 划分 多 个 阶段 逐步 实施 ， 北 美洲 国家 、 韩 国 、 日 
本 等 国 的 CDMA 网 络 运营 商 和 生产 厂商 是 其 主要 支持 者 .CDMA2000 1X 为 第 一 过 渡 阶 段 ， 
在 CDMA/IS-95 基础 上 引入 了 分 组 交换 技术 ,能够 支持 移动 IP 业务， 最 大 数据 传输 速率 为 
308Kbps。 类 似 于 GSM 系统 中 的 GPRS， 多 数 人 将 CDMA2000 1X 归 类 到 2.5G 移动 通信 。 
CDMA2000 1X EV-DO 和 CDMA2000 1X EV-DV 是 CDMA2000 1X 的 演变 升级 体制 ， 其 中 
EV 就 是 英文 Evolution 的 缩写 。CDMA2000 1X EV-DO (Data Only) 采用 专用 数据 信道 传 
输 数 据 ， 目 的 就 是 要 提高 数据 传输 速率 ， 最 大 数据 传输 速率 可 达 2.4Mbps。CDMA2000 1X 
EV-DV (Data and Voice) 采用 数据 信道 和 语音 信道 共享 方式 ， 在 提高 接 入 容量 的 同时 ， 将 
最 大 数据 传输 速率 提高 到 3.1Mbps。CDMA2000 3X 是 CDMA2000 的 第 二 过 渡 阶 段 ， 同 
CDMA2000 1X 的 主要 区 别 就 是 前 向 信道 采用 3 载波 方式 ， 而 CDMA2000 1X 采用 单 载波 
方式 , 多 载波 方式 能 够 提供 更 高 的 数据 传输 速率 。 TD-SCDMA 是 中 国 首 次 经 ITU 获准 的 移 
动 通信 技术 标准 ， 最 大 数据 传输 速率 为 2Mbps。 由 于 中 国 具 有 庞大 的 移动 通信 和 市场， 目前 
世界 上 已 有 多 家 电信 设备 厂商 宣布 支持 TD-SCDMA 标准 。 

根据 ITU 在 2004 年 12 月 的 统计 ,2004 年 全 球 移动 通信 用 户 总 数 已 超过 15 亿 ,WCDMA 
和 CDMA2000 1X EV-DO 第 三 代 移 动 通信 用 户 总 数 已 超过 2000 万 。 根 据 我 国信 息 产业 部 

〈 现 已 更 名 为 中 华人 民 共 和 国 工业 和 信息 化 部 ) 2004 年 的 统计 ， 仅 2004 年 就 新 增 移动 通 
信用 户 6400 万 ， 移 动用 户 总 数 达 到 3.34824 亿 。 


10.1.4 IEEE 802.11 无 线 局 域 网 


能 够 在 有 限 范围 内 实现 无 线 通信 的 网 络 称 为 无 线 局 域 网 (Wireless Local Area Network， 
WLAN)。WLAN 分 为 有 固定 基础 设施 和 无 固定 基础 设施 两 类 ， 固 定 基 础 设施 指 预先 建立 
的 基站 或 接 入 点 (Access Point，AP)， 主 要 用 于 将 无 线 客 户 端 接 入 有 线 网 络 ，AP 网 络 节点 
用 于 桥接 有 线 网 络 和 WLAN。 在 有 固定 基础 设施 模式 下 ，WLAN 的 最 小 构件 称 为 基本 服务 
集 (Basic Service Set，BSS)， 无 线 客户 端 与 其 他 无 线 客户 端 及 有 线 网 络 主机 之 间 的 通信 和 需 
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要 AP 转发 ， 才 能 发 送 到 目的 端 。 基 本 服务 集 可 以 是 孤立 的 ， 也 可 以 通过 分 布 式 系统 接 入 
其 他 基本 服务 集 ， 通 过 分 布 式 系统 互联 起 来 的 WLAN 称 为 扩展 服务 集 (Extended Service 
Set，ESS)， 扩 展 服务 集 在 逻辑 上 相当 于 一 个 基本 服务 集 。 

无 固定 基础 设施 指 没有 安装 AP 的 WLAN， 其 最 小 构件 称 为 独立 基本 服务 集 
(Independent Basic Service Set，IBSS)。 没 有 预先 设置 AP 的 WLAN 也 称 为 自 组 网 络 (Ad 
Hoc Network) 或 对 等 网 络 (Peer-Peer Network)， 主 要 用 于 无 线 客户 端 之 间 的 通信 ， 一 般 不 
与 外 界 的 其 他 网 络 互联 。 自 组 网 络 最 多 容许 9 个 无 线 客户 端 。 有 固定 基础 设施 和 无 固定 基 
础 设施 的 WLAN 分 别 如 图 10-3 和 图 10-4 所 示 。 


nm 


图 10-3 有 固定 基础 设施 的 WLAN 图 10-4 自 组 WLAN 


国际 电气 和 电子 工程 师 学 会 早 在 1997 年 就 发 布 了 IEEE 802.11 无 线 局 域 网 标准 ， 规 范 
了 WLAN 的 MAC 层 协 议和 物理 层 规程 ， 使 不 同 厂商 生产 的 无 线 设备 能 够 实现 无 线 互 联 。 
IEEE 802.11 在 参考 IEEE 802.3 有 线 以 太 局 域 网 MAC 层 CSMA/CD 协议 的 基础 上 , 采用 载 
波 监听 多 路 访问 /冲突 避免 CSMA/CA 协议 解决 多 用 户 共享 无 线 信道 的 冲突 问题 。 物 理 层 规 
程 定义 了 跳 频 扩 频 FHSS、 直 序 扩 频 DSSS 和 红外 线 豚 〈Infrared) 3 种 调制 技术 实现 方法 ， 
并 规定 工作 频段 为 不 需要 许可 证 的 2.4GHz 工业 、 科 学 和 医疗 ISM (Industry Science and 
Medical) 频段 ， 其 频段 宽度 为 2.4 一 2.4835GHz。 当 使 用 FHSS 或 DSSS 扩 频 技术 时 ， 传 输 
距离 在 100m 范围 内 ， 数 据 传输 速率 可 达到 1Mbps 或 2Mbps。 红 外 线 不 能 穿越 障碍 物 ， 因 
此 红外 线 调制 主要 用 于 室内 通信 ， 其 波长 为 850 一 950nm， 传 输 速率 也 为 1Mbps 或 2Mbps。 

为 了 进一步 提高 WLAN 的 数据 传输 速率 , IEEE 802.11 委员 会 于 1999 年 7 月 又 发 布 了 
IEEE 802.11a 和 IEEE 802.11b 两 个 标准 ，MAC 层 协议 与 IEEE 802.11 基本 相同 ， 但 采用 了 
不 同 的 物理 层 规程 。IEEE 802.11a 物理 层 使 用 5GHz ISM 频段 和 正 交 频 分 复 用 (Orthogonal 
Frequency Division Multiplexing，OFDM) 多 载波 调制 技术 ,可 分 别 支 持 6、9、12、18、24、 
36、48、56Mbps 多 种 传输 速率 ， 通 信和 距离 长 达 10km， 能 够 满足 不 同 移动 用 户 的 需求 。 事 
实 上 ，IEEE 802.11a 采用 OFDM 多 载波 调制 技术 的 目的 是 为 了 能 够 与 ETSI 提出 的 高 性 能 
无 线 局 域 网 HiperLAN 兼容 。 

IEEE 802.11b 物理 层 仍然 使 用 2.4GHz ISM 频段 ， 但 采用 高 速率 直 序 扩 频 (High Rate 
Direct Sequence Spread Spectrum，HR-DSSS) 调制 技术 ， 能 够 根据 通信 环境 质量 在 1、2、 
5.5、11Mbps 范围 内 自动 调整 传输 速率 ， 在 室内 有 障碍 的 条 件 下 最 大 传输 距离 可 达 100m， 
室外 直线 传播 最 大 传输 距离 可 以 达到 300m。 IEEE 标准 委员 会 随后 在 2003 年 6 月 又 正式 批 
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准 了 IEEE 802.11g WLAN 标准 。IEEE 802.11g 沿用 了 IEEE 802.11、IEEE 802.11b 的 2.4~ 
2.4835GHz ISM 频段 ， 但 使 用 IEEE 802.11a 的 OFDM 调制 扩 频 技术 。IEEE 802.11g 完全 兼 
容 目 前 广泛 使 用 的 IEEE 802.11b 技术 标准 ， 并 且 以 低廉 的 成 本 将 最 大 数据 传输 速率 提高 到 
56Mbps; 不 仅 支持 IEEE 802.1la 具有 的 6、9、12、18、24、36、48、56Mbps 多 种 传输 速 
率 ,， 也 支持 IEEE 802.11b 具有 的 1、2、5.5、11Mbps 传输 速率 ;由 于 向 下 兼容 IEEE 802.11b 
标准 ， 能 够 在 IEEE 802.11g 和 IEEE 802.11b 标准 之 间 自 由 切换 。 虽 然 IEEE 802.11a 具有 传 
输 速 率 高 和 覆盖 范围 大 的 优点 , 但 由 于 不 兼容 IEEE 802.11b 标准 , 而 且 无 线 设备 造价 较 高 ， 
显然 IEEE 802.11g 标准 比 IEEE 802.11a 具有 更 好 的 市 场 前 景 。 

因为 IEEE 并 不 负责 测试 IEEE 802.11 标准 系列 无 线 设备 的 兼容 性 ， 为 了 解决 无 线 产品 
的 互 操 作 性 问题 ， 生 产 厂商 自发 成 立 了 全 球 无 线 以 太 网 兼容 性 联盟 (Wireless Ethernet 
compatibility alliance，WECA)， 后 更 名 为 无 线 高 保 真 (Wireless Fidelity alliance，Wi-Fi) 
联盟 (http://www.Wi-Fi.org)。 凡 通过 Wi-Fi 联盟 认证 的 IEEE 802.11a、 IEEE 802.11b 和 IEEE 
802.1lg 无 线 产品 , 准予 标记 Wi-Fi CERTIFIED 兼容 

性 标准 指示 图 标 (Standard Indicator Icons，SII) 认 [wi 器 b 民 re 
证 标签 ， 两 种 不 同形 状 的 Wi-Fi 联盟 兼容 性 标准 指 CERTIFIED 69 
示 图 标 如 图 10-5 所 示 。 自 2000 年 3 月 Wi-Fi 联盟 

开始 推行 产品 认证 以 来 ,目前 已 有 1500 项 以 上 的 产 。 图 10-5 WiFi 联盟 兼容 性 标准 指示 图 标 
品 获得 Wi-Fi 兼容 性 认证 。 


10.1.5 HiperLAN/2 高 性 能 无 线 局 域 网 


高 性 能 无 线 局 域 网 (High performance radio Local Area Network，HiperLAN) 是 ETSI 
制定 的 宽带 无 线 接 入 网 (Broadband Radio Access Networks，BRAN) 计划 的 重要 组 成 部 分 。 
BRAN 包括 HiperLAN/1、HiperLAN/2、HiperAccess 和 HiperLink 4 个 标准 , 其 中 HiperLAN/1 
和 HiperLAN/2 用 于 高 速 WLAN 接 入 , HiperAccess 用 于 室外 远 距 离 有 线 通信 网 络 高 速 接 入 ， 
HiperLink 提供 HiperAccess 和 HiperLAN/2 之 间 的 近 距 离 高 速 无 线 连接 。 ETSI 早 在 1992 年 
就 提出 了 HiperLAN/1 WLAN 标准 ， 由 于 实现 成 本 高 于 随后 推出 的 IEEE 802.11b 标准 ， 没 
有 获得 商业 应 用 。2000 年 4 月 ETSI 又 公布 了 HiperLAMN/2 标准 ， 由 欧洲 、 北 美洲 和 日 本 等 
的 通信 厂商 组 成 的 HiperLAN/2 全 球 论坛 (HiperLAN/2 Global Forum，H2GF) 业界 组 织 正 
在 积极 推广 HiperLAN/2 的 市 场 应 用 ， 目 前 国际 上 已 有 50 家 著名 通信 厂商 表示 支持 
HiperLAN/2 标准 。 

HiperLAN/2 类 似 IEEE 802.1la 标 准 , 物理 层 使 用 5GHz ISM 频段 和 正 交 频 分 复 用 OFDM 
多 载波 调制 技术 ， 可 分 别 支持 6、9、12、18、27、36、54Mbps 多 种 传输 速率 ， 室 内 通信 
距离 为 30m， 室 外 通信 距离 可 达 150m。IEEE 802.11、IEEE 802.11a 和 IEEE 802.11b 标准 采 
用 无 连接 传输 方式 ， 不 能 提供 任何 服务 质量 QoS 保障 ; 而 HiperLAN/2 采用 了 面向 连接 的 
传输 方式 , 为 支持 多 媒体 数据 传输 服务 黄 定 了 良好 的 基础 。 面向 连接 有 利于 实现 QoS 保障 ， 
可 以 为 每 个 连接 分 配 指定 的 QoS 参数 〈QoS 参数 包括 网 络 吞 吐 量 、 传 输 延 迟 时 间 、 延 时 拌 
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动 和 数据 传输 误 码 率 )。 因 此 ，HiperLAN/2 能 够 更 好 地 满足 多 媒体 数据 业务 的 需求 。 


10.1.6 HomeRF 无 线 家 庭 网 


HomeRF (Home Radio Frequency) 是 面向 家 庭 的 无 线 网 络 标准 ， 主 要 用 于 个 人 计算 机 
和 家 用 电子 设备 之 间 的 无 线 通信 ; 1998 年 由 英特尔 (Intel)、IBM、 康 柏 (Compaq)、3COM、 
飞利浦 (Philips)、 微 软 、 摩 托 罗 拉 (Motorola)〉 等 公司 组 成 HomeRF 工作 组 开发 ， 随 后 美 
国联 邦 通信 委员 会 (Federal Communications Commission，FCC) 正式 批准 其 为 工业 标准 。 
HomeRF 的 核心 技术 是 共享 无 线 访 问 协议 〈Shared Wireless Access Protocol，SWAP )， 
数据 通信 采用 了 简化 的 IEEE 802.11 标准 , 沿用 了 MAC 层 CSMA/CA 协议 来 获取 信道 的 控 
制 权 ， 物 理 层 仍 然 采用 跳 频 扩 频 FHSS 技术 。 语 音 通信 采用 ETSI 制定 的 数字 增强 无 绳 电话 
(Digital Enhanced Cordless Telephony，DECT) 标准 。DECT 支持 电路 交换 和 分 组 交换 两 种 
方式 ， 电 路 交换 用 于 语音 传输 ， 分 组 交换 用 于 数据 传输 ， 使 用 TDMA/TDD 划分 双 工 信道 。 
HomeRF 1.0 支持 1.6Mbps 的 数据 传输 速率 ， 工 作 频 段 为 2.4GHz ISM。HomeRF 2.0 的 数据 
传输 速率 则 提高 到 10Mbps， 工 作 频 段 为 5GHz ISM。HomeRF 曾经 在 短 距离 无 线 网 市 场 具 
有 很 高 的 占有 率 ， 但 由 于 技术 标准 未 公开 和 技术 升级 进展 缓慢 ， 多 数 公司 转 向 支持 IEEE 
802.11b 和 蓝牙 标准 ， 目 前 已 逐渐 退出 无 线 网 络 市 场 。 


10.1.7 蓝牙 短 距 离 匹 线 网 


世界 著名 的 电信 设备 制造 商 瑞典 爱立信 (Ericsson) 公司 早 在 1994 年 就 提出 了 蓝牙 
(Bluetooth) 短 距离 无 线 网 技术 ;1998 年 瑞典 爱立信 、 芬 兰 诺基亚 〈Nokia)、 日 本 东芝 
(Toshiba)、 美 国 IBM 和 Intel 5 家 公司 成 立 了 蓝牙 特别 兴趣 小 组 SIG (Bluetooth Special 
Interest Group); 随后 微软 、3COM、 上 朗讯 、 摩 托 罗 拉 、AMD、 康 柏 、 戴 尔 、 惠 普 、 德 州 仪 
器 、 飞 利 浦 、 三 星 、LG、 夏 普 等 许多 世界 著名 计算 机 、 通 信 及 消费 电子 产品 公司 纷纷 加 盟 
SIG 组 织 ， 希 望 能 够 在 全 球 范围 内 推广 蓝牙 技术 。 截 至 2004 年 底 ， 世 界 上 已 有 3000 多 家 
公司 加 盟 SIG 组 织 ， 其 总 部 位 于 美国 堪萨斯 州 欧 弗 兰 公 园 (Overland Park Kansas)。 
1999 年 12 月 SIG 发 布 Bluetooth 1.0 版 本 ，2001 年 3 月 又 发 布 了 Bluetooth 1.1 版 本 规 
范 。 由 于 蓝牙 技术 获得 世界 上 众多 著名 公司 的 支持 ,2002 年 3 月 IEEE 正式 批准 Bluetooth 1.1 
版 本 为 IEEE 802.15.1 标准 ， 并 将 蓝牙 更 名 为 无 线 个 人 区 域 网 (Wireless Personal Area 
Network，WPAN) 标准 ， 为 蓝牙 短 距离 无 线 网 的 进一步 普及 铺 平 了 道路 。IEEE 802.15.1 标 
准 类 似 于 HomeRF， 工 作 频 段 为 2.4GHz ISM， 同 样 采用 了 跳 频 扩 频 技术 ， 最 大 数据 传输 速 
率 为 1Mbps， 理 想 传输 距离 为 10cm 一 10m， 提 高 发 射 功率 后 可 延长 到 100m。2004 年 SIG 
又 推出 Bluetooth 2.0 版 本 规范 ， 其 核心 是 增强 数据 率 Enhanced Data Rate，EDR) 技术 。 
Bluetooth 2.0 在 降低 功 耗 的 同时 ， 将 1Mbps 的 数据 传输 速率 提升 到 3Mbps。 
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10.1.8 IEEE 802.16 无 线 城 域 网 


IEEE 针对 无 线 市 场 需求 提出 了 一 系列 具有 互补 性 的 无 线 网 络 标准 ，IEEE 802.11 标准 
系列 是 面向 无 线 局 域 网 的 标准 ，IEEE 802.15 标准 系列 是 面向 无 线 个 人 区 域 网 的 标准 ， 而 
IEEE 802.16 标准 系列 则 是 面向 大 范围 覆盖 的 无 线 城 域 网 (Wireless Metropolitan Area 
Network，WMAN) 标准 。IEEE 802.16 标准 的 正式 名 称 是 固定 宽带 无 线 接 入 系统 空中 接口 

(Air Interface for Fixed Broadband Wireless Access Systyem，AIFBWAS)， 而 多 数 人 更 喜欢 
将 其 称 为 WMAN 或 无 线 本 地 回路 (Wire-less Local Loop，WLL)。 早 在 1999 年 IEEE 就 成 
立 了 IEEE 802.16 工作 组 专门 研究 宽带 固定 无 线 接 入 技术 标准 ， 目 的 是 希望 能 够 建立 全 球 
统一 的 宽带 无 线 接 入 标准 。 类 似 于 IEEE 802.11b Wi-Fi 和 IEEE 802.15 SIG 联盟 , 支持 IEEE 
802.16 标准 的 生产 厂商 于 2001 年 4 月 也 自发 成 立 了 微波 接 入 全 球 互 操作 性 〈World-wide 
interoperability for Microwave Access，WiMAX) 联盟 ， 旨 在 全 球 范 围 推广 IEEE 802.16 标准 
并 加 快 市 场 化 进程 。IEEE 802.15、IEEE 802.11 和 IEEE 802.16 无 线 通 信 标 准 的 典型 应 用 如 
图 10.6 所 示 。 


IEEE 802.16 IEEE 802.16 小 型 企业 
加 黑 加 -一 一 一 一 一 »” Ee 
< 


图 10-6 IEEE 802.16 WMAN 典型 应 上 


截至 目前 ，IEEE 802.16 WMAN 标准 系列 共 包 括 802.16、802.16a、802.16c、802.16d、 
802.16e、802.16f 和 802.16g 七 个 子 标准 ， 其 中 802.16、802.16a、802.16c、802.16d 已 正式 
发 布 ， 其 余 标 准 仍 在 制定 和 发 展 中 。IEEE 802.16 标准 系列 根据 是 否 支持 移动 特性 分 为 宽带 
国定 无 线 接 入 和 移动 无 线 接 入 两 类 。802.16、802.16a、802.16c 和 802.16d 属于 宽带 固定 无 
线 接 入 标准 ，802.16e 属于 宽带 移动 无 线 接 入 标准 ，802.16f 是 宽带 固定 无 线 接 入 空中 接口 
管理 信息 库 规 范 ，802.16g 则 是 宽带 固定 和 移动 无 线 接 入 空中 接口 管理 服务 规范 。 

IEEE 802.16 标准 对 使 用 2 一 66GHz 频段 的 宽带 固定 无 线 接 入 空中 接口 物理 层 和 MAC 
层 进行 了 规范 ， 最 大 覆盖 范围 可 达 50km。IEEE 802.16a 和 802.16c 对 IEEE 802.16 进行 了 
扩展 ， 分 别 规范 了 2 一 11GHz 和 10 一 66GHz 频段 的 宽带 固定 无 线 接 入 空中 接口 。IEEE 
802.16d 对 先前 颁布 的 标准 进行 了 整合 ， 将 频段 范围 扩展 成 2 一 66GHz。 目 前 IEEE 802.16 
工作 组 已 将 工作 重点 转向 宽带 移动 无 线 接 入 标准 。 
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10.2 ”无线 局 域 网 有 线 等 价 保密 安全 机 制 


有 线 等 价 保密 (Wired Equivalent Privacy，WEP) 是 IEEE 802.11、802.1la、802.11b 和 
802.11g 无 线 局 域 网 采用 的 安全 保护 机 制 , IEEE 802.11 工作 组 希望 WEP 能 够 提供 同 有 线 网 
络 完全 等 价 的 个 人 隐私 保护 。 只 要 正确 配置 WEP 的 全 部 安全 功能 , WEP 仍然 能 够 为 WLAN 
应 用 提供 基本 的 保密 性 和 完整 性 。WEP 加 密 利用 共享 密 钥 在 提供 数据 传输 保密 性 的 同时 ， 
也 提供 了 身份 认证 机 制 ， 能 够 在 一 定 程度 上 防止 通过 无 线 链 路 泄露 、 窃 听 和 非法 访问 等 恶 
意 行为 。 通 过 在 每 帧 数据 中 加 入 完整 性 校 验 值 ， 可 以 提高 数据 在 传输 过 程 中 保持 完整 性 的 
能 力 。 


10.2.1 有 线 等 价 保密 WEP 


WEP 主要 提供 了 数据 加 密 和 身份 认证 保护 功能 。 数 据 加 密 采用 著名 密码 专家 Ron 
Rivest 设计 的 RC4 加 密 算 法 ， 提 供 无 加 密 、40 位 密 钥 和 104 位 密 钥 3 种 不 同 实现 方式 。 

无 加 密 表示 数据 以 明文 方式 传输 , 能 够 接 入 WLAN 的 任何 无 线 网 络 噢 探 器 都 可 以 侦 听 
发 送 的 数据 ， 因 此 无 加 密 不 提供 任何 保密 性 。40 位 和 104 位 密 钥 长 度 可 向 用 户 提供 两 种 不 
同 加 密 强 度 选择 ， 但 有 些 无 线 网 络 适配器 只 支持 其 中 一 种 密 钥 ， 如 果 无 线 网 络 适配器 同时 
支持 两 种 密 钥 ， 自 然 应 当 使 用 104 位 密 钥 。 只 有 当 无 线 客户 端的 密 钥 和 服务 设置 标识 

(Service Set Identity，SSID) 与 接 入 点 完全 相同 时 ， 客 户 端 才能 接 入 WLAN。 

SSID 用 于 标识 特定 WLAN 的 名 称 , 用 户 在 配置 WLAN 时 , 可 以 选择 任意 SSID 名 称 ， 
但 不 能 与 扫描 范围 内 的 其 他 WLAN 同名 。 由 于 WEP 使 用 共享 密 钥 加 密 和 解密 数据 ， 在 有 
固定 基础 设施 条 件 下 ， 必 须 在 无 线 AP 和 所 有 无 线 客户 端 上 配置 密 钥 。 在 无 固定 基础 设施 
条 件 下 ， 需 要 在 所 有 无 线 客户 端 上 配置 密 钥 。 


10.2.2 WEP 加 密 与 解密 


WEP 加 密 过 程 如 图 10-7 所 示 。40 位 或 104 位 初始 密 钥 与 24 位 初始 向 量 (Initialization 
Vector，IV) 连接 起 来 ， 生 成 64 位 或 128 位 中 间 密 钥 ; 中 间 密 钥 通过 RC4 加 密 算法 生成 一 
串 与 明文 流 按 位 异 或 的 密 钥 流 ， 密 钥 流 的 长 度 与 明文 流 相 同 。RC4 加 密 算法 的 核心 是 伪 随 
机 数 生成 器 (Pseudo Random Number Generator, PRNG), 其 算法 效率 大 约 是 DES 的 10 倍 。 
WEP 设置 初始 向 量 的 目的 是 尽 可 能 避免 因 重 复 使 用 共享 密 钥 而 降低 加 密 强 度 ， 由 于 每 帧 数 
据 都 使 用 新 的 初始 向 量 ， 为 破译 共享 密 钥 增加 了 难度 。 

明文 与 完整 性 校 验 值 (Integrity Check Value，ICV) 连接 起 来 形成 明文 流 ，ICV 由 32 
位 循环 元 余 完 整 性 校 验算 法 CRC32 通过 计算 明文 生成 ， 明 文中 添加 4 字 节 的 ICV 能 够 防 
止 在 数据 流 中 插入 文本 试图 破解 密 文 消息 。 明 文 流 与 密 钥 流 按 位 异 或 形成 密 文 ， 密 文 再 与 
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初始 向 量 连接 生成 最 终 的 密 文 消息 。 由 于 在 明文 中 连接 了 4 字 节 的 ICV 值 ， 所 以 明文 流 比 
明文 长 4 个 字 节 。 明 文 流 与 密 钥 流 长 度 相同 ， 因 此 密 文 与 明文 流 具 有 相同 长 度 。 初 始 向 量 
为 3 个 字 节 ， 完 整 性 校 验 值 为 4 个 字 节 ， 最 终 密 文 消息 比 明文 多 7 个 字 节 。 


初始 向 量 IV 


初始 密 钥 


明文 


图 10-7 WEP 加 密 过 程 


WEP 解密 是 加 密 的 逆 过 程 ， 其 解密 过 程 如 图 10-8 所 示 。 初 始 密 钥 与 密 文 消息 中 的 初 
始 向 量 连接 后 ， 生 成 64 位 或 128 位 中 间 密 钥 。 RC4 加 密 算 法 将 中 间 密 钥 转 换 成 密 钥 流 ， 密 
钥 流 与 密 文 消息 中 的 密 文 异 或 后 生成 明文 流 ， 再 将 明文 流 拆 分 为 明文 和 完整 性 校 验 值 。 同 
时 计算 明文 的 完整 性 校 验 值 ， 并 与 明文 流 携带 的 完整 性 校 验 值 比较 。 如 两 个 校 验 值 不 同 ， 
表明 该 帧 数据 的 完整 性 已 经 遭 到 破坏 ， 则 丢弃 该 帧 。 


mr 


明文 


完整 性 算法 ICV 


图 10-8 WEP 解密 过 程 


10.2.3 IEEE 802.11 身份 认证 


IEEE 802.11 WLAN 具有 开放 系统 认证 (Open System Authentication)、 封 闭 系统 认证 
(Closed System Authentication) 和 共享 密 钥 认证 (Shared Key Authentication) 3 种 身份 认 
证 方式 。 开 放 系统 认证 是 下 EE 802.11 身份 认证 的 默认 方式 。 在 开放 系统 认证 方式 下 , 无 线 
AP 并 不 要 求 无 线 客户 端 提供 正确 的 SSID。 当 无 线 客户 端 提交 任意 SSID 认证 请 求 时 , 无 线 
AP 通过 广播 自己 的 SSID 来 响应 开放 系统 认证 请 求 。 因 此 ， 开 放 系 统 认 证 容许 任意 无 线 客 
户 端 接 入 无 线 AP， 即 使 输入 错误 的 密 钥 ， 也 可 以 同 无 线 AP 和 其 他 客户 端 通信 ， 只 不 过 所 
有 数据 都 采用 明文 方式 传输 。 只 有 提供 合法 的 共享 密 钥 时 ， 数 据 才 以 密 文 方式 传输 。 开 放 
系统 认证 强调 的 是 简单 易 用 ， 只 能 用 于 没有 任何 安全 要 求 的 场合 。 如 果 输 入 正确 的 密 钥 ， 
开放 系统 认证 能 够 提供 数据 保密 性 ， 但 不 具备 身份 识别 功能 。 开 放 系 统 认 证 过 程 如 图 10-9 
所 示 。 
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封闭 系统 认证 的 安全 级 别 略 高 于 开放 系统 认证 。 在 这 种 方式 下 ， 无 线 AP 要 求 无 线 客 
户 端 必须 提交 正确 的 SSID。 只 有 认证 双方 具有 相同 的 SSID 时 ， 才 容许 无 线 客户 端 接 入 
WLAN; 否则 ， 拒 绝 无 线 客户 端的 认证 请 求 。 封 闭 系统 认证 过 程 如 图 10-10 所 示 。 


无 线 客户 端 无 线 AP 无 线 客户 端 无 线 AP 
任意 SSID 认 证 请 求 正确 SSID 认 证 请 求 
广播 SSID 认 证 成 功 SSID 匹 配 认证 成 功 
图 10-9 开放 系统 认证 过 程 图 10-10 封闭 系统 认证 过 程 
共享 密 钥 认 证 就 是 采用 WEP 共享 密 钥 和 SSID 来 识别 无 线 客户 端的 身份 ， 只 有 提交 正 
确 的 密 钥 和 SSID, 无 线 AP 才 容 许 无 线 客户 端 接 Se 二 
入 WLAN。 显 然 ， 共 享 密 钥 认证 的 安全 级 别 高 无线/ 广 端 
于 开放 系统 认证 和 封闭 系统 认证 。WEP 共享 密 |----- 认证 请 求 ,| 
钥 认证 过 程 大 致 可 以 分 为 4 步 ,如 图 10-11 所 示 。 
首先 ， 无 线 客户 端 向 无 线 AP 发 送 包 含 SSID 的 __ 随机 认证 响应 | 
认证 请 求 ， 无 线 AP 接收 到 认证 请 求 后 ， 生 成 一 
个 随机 认证 消息 , 作为 认证 请 求 的 响应 发 送 给 无 加 密 随 机 认证 
线 客户 端 。 随 后 ， 无 线 客户 端 用 共享 密 钥 加 密 随 | 
机 认证 响应 并 发 送 到 无 线 AP， 无 线 AP 采用 共 认证 结果 
享 密 钥 解 密 。 如 解密 后 的 随机 认证 消息 与 发 送 的 。 让-------------- 
随机 认证 消息 完全 相同 ， 则 容许 无 线 客户 端 接 
入 ; 否则 ， 判 别 无 线 客户 端 为 非法 用 户 ， 拒 绝 接 图 10-11 WEP 共享 密 钥 认 证 过 程 
入 WLAN。 


10.3 无线 局 域 网 有 线 等 价 保密 安全 漏洞 


由 于 WEP 在 考虑 安全 性 和 易 用 性 之 间 的 均衡 时 , 更 多 地 倾向 于 易 用 性 和 加 密 算法 的 高 
效 性 ， 从 而 导致 在 WEP 默认 配置 、 加 密 、 密 钥 管理 和 服务 设置 标识 等 方面 存在 大 量 的 漏 
洞 ， 进 而 为 蓄意 破坏 IEEE 802.11 系列 WLAN 上 信息 资源 的 保密 性 、 完 整 性 和 有 效 性 提供 
了 条 件 。 


10.3.1 WEP 默认 配置 涡 油 


多 数 用 户 在 安装 无 线 网 络 适 配器 和 无 线 AP 设备 时 ， 只 要 求 这 些 设备 能 够 正常 工作 就 
可 以 了 ， 很 少 考虑 启用 并 正确 配置 无 线 安全 性 ， 通 常 都 使 用 默认 配置 ， 而 且 正常 工作 后 很 
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少 再 重新 配置 。 开 放 系统 认证 是 WEP 的 默认 配置 , 它 就 好 像 在 无 线 链 路 上 设置 了 一 个 公共 
用 户 端口 ， 任 何 无 线 客户 端 都 可 以 接 入 并 使 用 WLAN 资源 。 例 如 ， 可 以 发 送 数据 、 监 听 通 
信 内 容 、 访 问 WLAN 共享 资源 或 通过 无 线 AP 访问 有 线 网 络 上 的 共享 资源 ， 也 可 以 窃取 或 
破坏 保密 数据 、 安 装 病毒 或 “特洛伊 木马 ”程序 ， 甚 至 可 以 利用 Internet 连接 发 送 病毒 邮件 
或 作为 倪 偶 机 向 其 他 远程 计算 机 发 动 攻击 等 。 


10.3.2 WEP 加 密 汤 洞 


由 图 10-7 所 示 的 WEP 加 密 过 程 可 知 ， 密 文 是 通过 明文 流 与 密 钥 流 按 位 异 或 形成 的 ， 
然后 密 文 青 与 初始 向 量 连接 构成 密 文 消息 ,如 果 所 有 WEP 帧 都 采用 相同 的 密 钥 和 初始 向 量 
加 密 ， 即 使 不 知道 共享 密 钥 ， 利 用 重复 使 用 的 初始 向 量 完全 有 可 能 破译 出 加 密 的 WEP 帧 。 
破译 的 最 简单 方法 就 是 对 密 文 消息 进行 按 位 异 或 运算 ， 然 后 剔除 密 钥 流 和 初始 向 量 ， 其 结 
果 是 两 个 明文 流 的 异 或 形式 。 如 知道 其 中 一 个 明文 流 ， 计 算 另 一 个 明文 流 并 不 困难 。 

由 于 IEEE 802.11 没有 明确 规定 初始 向 量 的 使 用 方法 ,许多 厂商 在 设计 WLAN 设备 时 ， 
简单 地 将 设备 启动 时 的 初始 向 量 设置 为 0, 然后 青 逐 次 加 1。 多 数 用 户 都 会 在 每 天 早晨 儿 乎 
相同 的 时 间 重 新 启动 设备 ， 大 大 增加 了 初始 向 量 的 重用 率 。 只 要 获得 足够 多 的 相同 初始 向 
量 , 就 有 可 能 从 密 文 消息 中 破译 出 密 钥 或 明文 。 此 外 ， 初 始 向 量 只 有 24 位 ， 可 用 空间 十 分 
有 限 。 就 目前 的 计算 能 力 而 言 ， 短 时 间 内 就 可 以 穷 举 完 所 有 的 初始 向 量 。 有 限 的 初始 向 量 
空间 ， 也 会 导致 密 钥 重 用 率 提 高 ， 降 低 了 密 钥 破 译 的 难度 。WEP 采用 共享 密 钥 加 密 和 解密 
数据 ， 如 果 需 要 更 改 密 钥 ， 就 必须 告知 与 之 通信 的 所 有 节点 ， 了 解 秘密 的 人 越 多 ， 秘 密 信 
息 也 就 变 成 了 公开 信息 。 


10.3.3 WEP 密 钥 管 理 漏 油 


事实 上 ，WEP 并 没有 提供 真正 意义 上 的 密 钥 管理 机 制 ， 需 要 依赖 nternet 工程 任务 组 
(JInternet Engineering Task Force，IETF) 提出 的 远程 认证 拨号 用 户 服务 (Remote 
Authentication Dial-In User Service，RADIUS) 和 扩展 认证 协议 (Extensible Authentication 
Protocol，EAP) 等 外 部 认证 服务 ， 但 多 数 小 型 企业 或 办 公 室 在 部 署 WLAN 时 ， 并 不 会 使 
用 造价 昂贵 的 专用 认证 服务 器 。 尽管 WEP 容许 用 户 自己 配置 共享 密 钥 , 但 手工 配置 共享 密 
钥 十 分 麻烦 ， 且 多 数 用 户 不 熟悉 密 钥 配 置 过 程 。 无 线 网 络 适 配器 和 无 线 AP 在 出 三 时 都 带 
有 4 个 默认 的 密 钥 ， 大 多 数 用 户 一 般 都 是 从 4 个 默认 密 钥 中 选择 一 个 作为 共享 密 钥 。 但 厂 
商 通常 对 密 钥 都 进行 了 标准 化 ， 因 此 只 要 知道 设备 生产 厂商 和 类 型 ， 通 过 检索 厂商 默认 列 
表 就 有 可 能 获得 共享 密 钥 。 
WEP 也 容许 在 无 线 客户 端 建立 一 个 密 钥 映 射 表 ， 记 录 MAC 地 址 与 共享 密 钥 之 间 的 对 
应 关系 ; 多 个 无 线 客户 端 之 间 直 接 利 用 MAC 地 址 进行 通信 ，MAC 地 址 的 随机 性 很 强 。 用 
MAC 地 址 代替 共享 密 钥 从 表面 上 看 是 提高 了 安全 性 ， 但 众所周知 ，MAC 地 址 同样 也 是 经 
过 标准 化 的 , 如 果 能 够 知晓 设备 生产 厂商 , 从 IEEE 标准 网 站 http://standards.ieee.org/regauth/ 
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Oui/index.shtml 可 以 很 容易 检索 到 分 配给 厂商 的 MAC 地址 范围 。 
10.3.4 服务 设置 标识 漏洞 


服务 设置 标识 SSID 是 WLAN 的 名 称 ， 也 可 以 将 一 个 WLAN 分 为 多 个 要 求 不 同 身份 
认证 的 子 网 ， 用 于 区 分 不 同 的 服务 区 。IEEE 802.11 采用 SSID 实现 基本 的 资源 访问 控制 ， 
防止 未 经 授权 的 无 线 客户 端 进 入 WLAN 子 网 。 无 论 是 有 固定 基础 设施 还 是 无 固定 基础 设施 
的 WLAN， 无 线 客户 端 都 必须 出 示 正 确 的 SSID 才能 访问 无 线 AP 或 其 他 无 线 客户 端 。 事 
实 上 ，SSID 只 是 一 个 简单 的 口令 身份 认证 机 制 。 

多 数 制造 商 在 其 生产 的 无 线 AP 中 设置 了 默认 SSID， 甚 至 在 设备 使 用 说 明 中 明确 指出 
默认 的 SSID。 如 果 部 署 WLAN 时 不 改变 厂商 默认 的 SSID, 任何 人 通过 网 上 检索 或 安装 指 
南都 能 轻易 地 获得 默认 SSID。 只 要 将 无 线 客户 端的 SSID 修改 成 无 线 AP 默认 的 SSID， 就 
有 可 能 非法 接 入 WLAN。 

此 外 ， 同 一 个 生产 厂商 的 无 线 AP 和 无 线 网 络 适 配器 一 般 具 有 相同 的 默认 SSID。 即 使 
不 知道 默认 的 SSID， 只 要 使 用 同一 厂商 的 无 线 网 络 适配器 也 可 以 非法 接 入 无 线 AP。 还 有 

- 些 厂商 使 用 无 线 网 络 适配器 的 半 个 MAC 地 址 作为 默认 SSID，MAC 地 址 采用 十 六 进 制 
数字 表示 ,长 度 为 6 个 字 节 。 前 3 个 字 节 是 IEEE 分 配给 厂商 的 唯一 标识 OUIC Organizationally 
Unique Identifier)， 后 3 个 字 节 为 网 络 适配器 的 唯一 标识 编码 。 由 于 同一 个 厂商 的 OUI 是 
完全 相同 的 ， 因 此 无 论 使 用 前 半 个 还 是 后 半 个 MAC 地 址 作为 默认 SSID， 检 索 或 推测 出 默 
认 SSID 并 不 是 一 件 十 分 困难 的 事情 。 此 外 ， 著 名 的 2600 黑客 杂志 网 站 收集 了 儿 乎 所 有 厂 
商 的 默认 SSID 和 WEP 密 钥 (http: //mediawhore.wi2600.org/nf0/wireless/ssid_defaults/)。 日 
前 市 场 上 无 线 AP 主要 生产 厂商 使 用 的 默认 SSID 和 IEEE 分 配 的 MAC 地 址 OUI 如 表 10-1 
所 示 。 

表 10-1 无 线 AP 主要 生产 厂商 默认 SSID 和 OUI 


厂商 名 称 默认 SSID OUI 
Cisco tsunami 00-40-96 
Linksys linksys 00-04-5A 
TP-LINK Wireless 00-0A-EB 
ACCTON WLAN 00-00-E8 
Compag 00-02-A5 
Intel intel，xlan，101 00-02-B3 
AboveCable CTC 00-0D-08 
3COM 101 00-00-86 
Dell wireless 00-06-5B 


SMC Networks WLAN 00-04-E2 


第 10 章 无 线 网 络 安全 入 


10.4 ”无线 局 域 网 安全 威胁 


10.4.1 无 线 局 域 网 探测 


1. 战争 驱车 探测 


无 线 网 络 攻击 步骤 与 有 线 网 络 攻击 类 似 ， 第 一 步 都 是 要 发 现 目标 无 线 网 络 。 多 数 机 构 
都 使 用 防火 墙 作为 内 部 网 络 的 第 一 道 安全 防线 ， 因 为 防火 墙 能 够 有 效 地 隔离 内 部 网 和 开放 
的 Internet。 但 内 部 网 中 私自 与 Internet 连接 的 调制 解 调 器 给 内 部 网 安全 留 下 了 隐患 ， 如 使 
用 “战争 拨号 器 ”(War Dialers) 软件 随机 拨打 电话 号 码 ， 能 够 迅速 发 现 接 入 Internet 的 调 
制 解 调 器 。 人 们 将 寻找 隐藏 调制 解 调 器 的 方法 称 为 “战争 拨号 ”(War Dialing) 技术 ， 其 中 
“战争 拨号 ”中 的 “战争 ”(War) 一 词 取 自 著 名 电影 《 真 假 战争 》(War Games ) 。 

由 于 探测 WLAN 的 方法 有 些 类 似 “ 战 争 拨号 ”技术 ， 人 们 便 将 携带 移动 设备 驱车 到 处 
转悠 寻找 WLAN 的 方法 称 为 “战争 驱车 ”(War Driving) 技术 。“ 战 争 驱车 和 “战争 驾驶 ” 
或 “战争 驾车 ”都 是 War Driving 的 直译 ; 事实 上 ，War Driving 是 泛 指 各 种 搜索 无 线 局 域 
网 信息 的 技术 ， 也许 用 无 线 局 域 网 探测 或 扫描 能 更 好 地 表示 War Driving 的 含义 。 目 前 网 络 
上 有 Windows、UNIX、Linux 和 Mac OS 操作 系统 平台 下 运行 的 多 种 无 线 局 域 网 探测 和 定 
位 软件 ， 表 10-2 列举 了 部 分 常用 开放 源码 或 非 商业 无 线 局 域 网 探测 软件 ， 同 时 还 给 出 了 这 
些 软件 的 名 称 、 当 前 最 高 版 本 、 操 作 系统 平台 和 下 载 地址 ， 其 中 最 著名 的 WLAN 探测 和 定 
位 软件 是 由 Marius Milner 开发 的 NetStumbler。 

表 10-2 常用 开放 源码 或 非 商业 WLAN 探测 软件 


程序 名 称 | 最 高 版 本 | 操作 系统 | 软件 类 型 | 下 载 地 址 
NetStumbler 0.4.0 Windows http://www.netstumbler.com/downloads/ 
MiniStumbler 0.4.0 Windows CE http://www.netstumbler.com/downloads/ 
Kismet 04-10-R1 _ |UNIX、 Linux 放 源 码 _ |http://www.kismetwireless.net/ 
SSIDSniff 0.4.0 UNIX、 Linux Ff 放 源码 _ |http://www.netsecurity.about.com/gi/dynamic/ 
WiFi Scanner 0.9.6 UNIX、Linux F 放 源码 |http:Wsourceforge.net/projects/ 
IStumbler 92 Mac OSX F 放 源码 _ |http://www.istumbler.net/ 
UNIX、Linux、 a 
Wifimap 0.3.1 F 放 源码 |http://sourceforge.net/projects/wifimap/ 
Windows 
Wellenreiter 1.9 UNIX、Linux F 放 源码 _ |http://www.remote-exploit.org/ 
KisMAC 0.009a Mac OSX http://kismac.binaervarianz.de/ 
Prismstumbler 0.7.3 UNIX、Linux | -开放 源码 ”|http:/ prismstumbler.sourceforge.net/ 


2. NetStumbler 简介 


NetStumbler 0.4.0 要 求 在 Windows 2000、Windows XP 或 更 高 操作 系统 版 本 下 运行 ; 虽 
然 未 公开 源 代码 ， 但 可 以 免费 使 用 ;目前 支持 IEEE 802.11a、802.11b 和 802.11g 无 线 网 络 
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适配器 和 全 球 定位 系统 GPS。 事 实 上 ，NetStumbler 并 不 是 一 个 专用 的 WLAN 探测 和 定位 
工具 。 其 主要 功能 是 WLAN 安全 审计 、 信 号 质量 检测 、 安 装 位 置 选择 、 探 测 与 定位 ， 安 全 
审计 供 网 络 管理 员 检 测 自己 周围 是 否 存在 恶意 WLAN， 信 号 质量 检测 可 以 确定 覆盖 区 内 的 
信号 质量 及 覆盖 范围 ,安装 位 置 选 择 能 够 为 WLAN 选择 干扰 最 小 的 安装 位 置 ,探测 和 定位 
结合 GPS 实现 “战争 驱车 ”功能 。 

NetStumbler 通过 向 周围 的 WLAN 发 送 探测 请 求 ,能 够 获得 目标 WLAN 的 MAC 地 址 、 
SSID、 无 线 AP 名 称 、 数 据 传 输 速 率 、 设 备 制 造 商 、AP 网 还 是 自 组 网 、 是 否 加 密 、IP 地 址 、 
信号 强度 及 所 在 经 纬度 等 信息 。 


10.4.2 无 线 局 域 网 监听 


无 线 局 域 网 监听 的 机 制 和 方法 与 广播 机 制 以 太 局 域 网 相同 ， 需 要 利用 无 线 网 络 适配器 
的 混杂 工作 模式 从 数据 链 路 层 实时 截获 数据 帧 ， 然 后 通过 网 络 协议 解析 所 获取 数据 帧 的 内 
容 。 目 前 绝 大 多 数 无 线 AP 属于 无 线 集线器 ， 对 于 无 线 集线器 共享 网 络 环境 ， 只 要 将 网 络 
适配器 设置 成 混杂 工作 模式 ， 就 可 以 监听 到 整个 WLAN 内 的 数据 帧 流量 ， 而 无 线 交 换 AP 
交换 网 络 环境 给 WLAN 监听 增加 了 困难 ， 由 于 每 个 无 线 客户 端 都 是 一 个 独立 的 网 段 , 不 同 
网 段 之 间 通 过 交换 AP 内 部 的 网 桥 互联 ， 因 此 网 络 适配器 混杂 工作 模式 并 不 能 截获 到 其 他 
网 段 的 任何 数据 帧 。 如 果 利 用 无 线 集线器 将 无 线 交换 网 络 转换 成 共享 网 络 ， 就 有 可 能 实现 
对 无 线 交 换 网 络 的 监听 。 

目前 有 许多 软件 工具 支持 无 线 局 域 网 监听 ， 除 6.2 节 介绍 的 Tcpdum、Ethereal、Ngrep 
等 网 络 数据 包 采 集 与 分 析 工 具 之 外 ， 诸 如 Airopeek、Kismet、Airsniffer、AirTraf、Airjack、 
LibRadiate、Mognet、APsniff 等 都 可 以 实现 无 线 局 域 网 监听 。 如 果 WLAN 以 明文 方式 传输 
数据 , 这 些 无 线 局 域 网 监听 工具 都 可 以 解析 出 传输 内 容 。 即 使 WLAN 采用 了 加 密 保护 机 制 ， 
仍 无 济 于 事 , 非法 用 户 甚至 不 需要 自己 从 密 文 消息 中 破译 密 钥 ， 因 为 有 众多 免费 WLAN 密 
钥 破 译 软件 可 供 使 用 。 例 如 ，Wepcrack、Airsnort、Weplab 、Aircrack、Airsnarf、Asleap、 
WepAttack 都 是 当前 网 络 上 流行 的 IEEE 802.11 WEP 密 钥 破译 软件 。 多 数 破译 软件 只 要 采 
集 500 万 一 1000 万 左右 的 加 密 分 组 , 利用 WEP 加 密 漏洞 就 可 以 计算 出 WEP 密 钥 ; 另 一 些 
破译 软件 则 采用 传统 的 字典 攻击 手段 ， 试 图 猜测 出 密 钥 。 


10.4.3 无 线 局 域 网 欺 详 


无 线 局 域 网 欺诈 (Fraud) 就 是 利用 默认 配置 漏洞 、 加 密 漏洞 、 密 钥 管理 漏洞 和 服务 设 
置 标识 漏洞 等 突破 身份 认证 的 封锁 ， 假 冒 合 法 无 线 客户 端 或 无 线 AP 骗取 WLAN 的 信任 ， 
窍 听 重 要 机 密 信息 或 非法 访问 网 络 资源 的 攻击 行为 。 尽 管 IEEE 802.11 WLAN 开放 系统 认 
证 容许 所 有 无 线 客户 端 接 入 无 线 AP， 但 没有 正确 的 共享 密 钥 ， 欺 诈 客户 端 只 能 与 无 线 AP 
或 其 他 无 线 客户 端 明文 通信 ， 并 不 能 穷 听 到 以 密 文 传输 的 重要 机 密 信息 ; 封闭 系统 认证 则 
要 求 无 线 客户 端 提供 正确 的 SSID; 而 共享 密 钥 认证 不 仅 要 求 无 线 客户 端 提供 正确 的 共享 密 
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钥 ， 还 要 求 出 示 正 确 的 SSID， 只 有 通过 身份 认证 的 无 线 客户 端 才能 接 入 WLAN。 由 此 可 
以 看 出 ， 实 现 欺 诈 的 关键 是 突破 身份 认证 ， 而 通过 身份 认证 最 简便 的 办 法 就 是 设法 获得 
SSID 和 WEP 共享 密 钥 。 如 前 SSID 漏洞 所 述 ， 获 取 SSID 并 不 困难 ， 窃 取 或 破译 共享 密 钥 
才 是 WLAN 欺诈 的 关键 要 素 。 

除了 使 用 众多 免费 的 WEP 共享 密 钥 破译 软件 之 外 ， 由 于 WEP 共享 密 钥 认 证 过 程 相对 
简单 ， 通 过 伪造 合法 的 共享 密 钥 认证 过 程 ， 仍 然 有 可 能 实现 欺诈 意图 。 在 共享 密 钥 认证 方 
式 下 ， 无 线 AP 收 到 认证 请 求 后 ， 以 明文 形式 发 送 一 个 128 位 的 随机 认证 消息 ， 随 机 认证 
消息 由 共享 密 钥 和 初始 向 量 通过 RC4 加 密 算 法 生成 , 无 线 客户 端 用 共享 密 钥 对 随机 认证 消 
息 加 密 后 回 送 给 无 线 AP。 如 果 能 够 积累 大 量 回 送 给 无 线 AP 的 加 密 随 机 认证 报 文 ， 就 有 可 
能 破译 出 无 线 客户 端 对 明文 流 加 密使 用 的 密 钥 流 , 因为 加 密 随机 认证 报 文中 隐藏 了 密 钥 流 。 
一 且 窃 听 到 发 送 给 客户 端的 明文 随机 认证 响应 ， 就 可 以 用 密 钥 流 伪造 一 个 合法 的 加 密 随 机 
认证 报 文 ， 无 线 AP 必然 错误 地 认为 这 是 一 个 合法 的 无 线 客户 端 。 共 享 密 钥 认证 欺诈 过 程 
如 图 10-12 所 示 。 

IEEE 802.11 WLAN 除 采 用 SSID 和 WEP 共享 密 钥 安 全 机 制 之 外 , MAC 地 址 过 滤 也 是 
重要 的 安全 措施 之 一 。 将 SSID、MAC 地 址 过 滤 和 WEP 共享 密 钥 多 种 安全 机 制 组 合 起 来 ， 
能 够 在 很 大 程度 上 降低 安全 威胁 ， 多 数 无 线 AP 在 开放 系统 认证 、 封 闭 系 统 认 证 和 共享 密 
钥 认 证 方式 下 都 支持 MAC 地 址 过 滤 。MAC 地 址 过 滤 就 是 用 无 线 网 络 适 配器 的 物理 地 址 来 
确定 无 线 客户 端的 合法 性 。 在 MAC 地 址 过 滤 之 前 ， 需 要 在 无 线 AP 建立 容许 访问 WLAN 
的 MAC 地 址 列表 ， 只 有 当 无 线 客户 端 提交 的 MAC 地 址 能 够 与 无 线 AP 建立 的 MAC 地 址 
列表 匹配 时 ， 才 容许 访问 WLAN。 

如 果 在 封闭 系统 认证 方式 下 配置 了 MAC 地 址 过 滤 , 无 线 客户 端 不 仅 要 向 无 线 AP 出 示 
正确 的 SSID, 还 需要 提交 合法 的 MAC 地 址 。 无 线 客户 端 首先 向 无 线 AP 发 送 SSID 认证 请 
求 ， 如 果 是 开放 系统 认证 ， 则 可 以 发 送 任意 SSID 认证 请 求 。 如 果 提 交 的 SSID 能 够 与 无 线 
AP 的 SSID 匹配 ， 无 线 AP 将 返回 认证 成 功 应 答 。 但 此 时 无 线 客户 端 还 不 能 接 入 WLAN， 
还 需 继续 向 无 线 AP 发 送 MAC 地 址 连接 请 求 ， 如 提交 的 MAC 地 址 位 于 合法 MAC 地 址 列 
表 ， 则 无 线 AP 授权 无 线 客户 端的 连接 请 求 。 

尽管 MAC 地 址 过 滤 机 制 增强 了 WLAN 的 安全 性 ,但 也 为 无 线 局 域 网 欺诈 提供 了 机 会 。 
于 无 线 客户 端 以 明文 方式 向 无 线 AP 发 送 MAC 地 址 连接 请 求 , 利用 无 线 局 域 网 监听 工具 
很 容易 窃取 WLAN 中 其 他 无 线 客户 端 向 无 线 AP 发 送 的 合法 MAC 地 址 。 此 外 ， 如 果 能 知 
道 无 线 客户 端 使 用 的 无 线 网 络 适配器 生产 厂商 , 破译 MAC 地 址 要 比 破译 WEP 共享 密 钥 容 
易 得 多 , 因为 MAC 地 址 是 通过 标准 化 生成 的 。 通过 伪造 合法 MAC 地 址 即 可 实现 无 线 局 域 
网 欺诈 。 操 作 系统 和 无 线 网 络 适 配器 支持 MAC 地 址 重新 配置 功能 ,也 为 MAC 地 址 欺诈 提 
t 了 方便 。 封 闭 系统 认证 MAC 地 址 欺诈 过 程 如 图 10-13 所 示 。 
如 果 伪 造 MAC 地 址 的 无 线 客户 端 和 合法 MAC 地 址 的 无 线 客户 端 同 时 在 线 , 必然 会 破 
坏 ARP 缓存 表 ， 所 以 利用 MAC 地 址 欺诈 接 入 WLAN 之 前 ， 需 要 用 WLAN 监听 工具 确认 
合法 MAC 地 址 是 否 在 线 。 
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无 线 客户 端 ee 无 线 客户 端 天 二 
人 ee 
0 ee 
a 人 
0 并 全 本 

图 10-12 共享 密 铀 认证 其 诈 过 各 图 10-13 封闭 系统 认证 MAC 地 址 其 诈 过 程 


10.4.4 无 线 AP 其 话 


无 线 AP 欺诈 (Rogue) 是 指 在 WLAN 莉 六 范围 内 秘密 安装 无 线 AP， 窃 取 通 信 、WEP 
共享 密 钥 、SSID、MAC 地 址 、 认 证 请 求 和 随机 认证 响应 等 保密 信息 的 恶意 行为 。 事 实 上 ， 
WLAN 固有 的 性 质 不 仅 为 无 线 局 域 网 欺诈 提供 了 方便 ， 也 为 在 WLAN 附近 安装 欺诈 无 线 
AP 提供 了 便利 条 件 。 

为 了 实现 无 线 AP 欺诈 目的 , 首先 需要 利用 Netstumbler 等 WLAN 探测 和 定位 软件 获得 
合法 无 线 AP 的 SSID、 信 号 强度 、 是 否 加 密 等 信息 。 根 据 信号 强度 能 够 将 欺诈 无 线 AP 秘 
密 安装 到 合适 位 置 ,确保 无 线 客户 端 可 以 在 合法 AP 和 欺诈 AP 之 间 切 换 。 此 外 ， 自 然 还 需 
要 将 欺诈 AP 的 SSID 设置 成 合法 无 线 AP 的 SSID 值 。 如 果 WIAN 采用 开放 系统 认证 或 封 
闭 系统 认证 ， 无 线 AP 欺诈 此 时 便 告 成 功 。 如 果 
WLAN 采 用 共享 密 钥 认证 ,还 需要 设法 获得 WEP 
共享 密 钥 才 能 欺诈 成 功 。 

发 现 欺 诈 无 线 AP 的 最 简单 方法 就 是 使 用 无 
线 局 域 网 探测 软件 ， 因 为 无 线 局 域 网 探测 软件 的 
基本 功能 就 是 试图 发 现 非法 无 线 AP， 但 前 提 是 
欺诈 无 线 AP 采用 了 开放 系统 认证 ， 因 为 在 封闭 


系统 认证 或 共享 密 钥 认 证 方式 下 ， 无 线 AP 并 不 =e 其 诈 无 线 AP 
广播 自己 的 SSID. WLAN 欺诈 无 线 AP 如 图 10-14 
所 示 。 图 10-14 WLAN 欺诈 无 线 AP 


10.4.5 无 线 局 域 网 支持 


无 线 局 域 网 劫持 〈Hijack) 是 指 通过 伪造 ARP 缓存 表 使 会 话 流向 指定 恶意 无 线 客户 端 
的 攻击 行为 。 无 线 局 域 网 劫持 原理 与 有 线 网 络 的 会 话 劫持 相同 ， 主 要 是 利用 了 ARP 协议 中 
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存在 的 请 求 与 应 答 报 文 漏洞 。 通 过 网 络 层 将 MAC 地 址 隐藏 起 来 ， 使 用 统一 的 全 地 址 通信 
可 以 使 TCP/P 协议 与 具体 的 物理 网 络 无 关 , 但 主机 在 数据 链 路 层 必须 使 用 MAC 地 址 才能 
实现 通信 ， 正 是 ARP 协议 提供 了 IP 地址 到 MAC 地 址 的 映射 服务 。 

ARP 协议 采用 动态 绑 定 (Dynamic Binding) 方式 解析 目的 主机 的 MAC 地址， 当主 机 
发 送 数据 时 ， 首 先 查 询 本 机 的 ARP 缓存 表 ， 如 检索 到 目的 PP 地 址 对 应 的 MAC 地 址 ， 将 
MAC 地 址 封装 在 数据 帧 头 内 就 可 以 实现 数据 链 路 层 之 间 的 通信 。 如 果 未 检索 到 目的 卫 地 
址 对 应 的 MAC 地 址 , 则 在 本 网 段 内 广播 ARP 请 求 报 文 , 只 有 同 目的 瑟 地 址 相同 的 主机 才 
回 送 包含 MAC 地 址 的 ARP 应 答 报 文 。 如 果 目 的 卫 地 址 位 于 其 他 网 络 ， 主 机 将 ARP 请 求 
报 文 发 送 给 路 由 器 ， 路 由 器 再 报告 自己 的 MAC 地址， 然后 由 路 由 器 转发 数据 报 文 。 

由 于 在 设计 ARP 协议 时 没有 考虑 ARP 发 送 请 求 进程 与 侦 听 应 答 进程 之 间 的 关联 ， 换 
名 话说， 发 送 主机 接收 到 ARP 应 答 报 文 时 ， 并 不 清楚 是 否 曾 发 送 过 ARP 请 求 报 文 ， 主 机 
只 要 接收 到 ARP 应 答 报 文 ， 就 将 MAC 地 址 保存 到 ARP 缓存 表 中 。 正 是 ARP 发 送 请 求 进 
程 与 侦 听 应 答 进程 之 间 的 无 关联 性 ， 为 通过 伪造 MAC 地 址 实现 会 话 劫持 提供 了 机 会 。 

同一 网 段 及 不 同 网 段 内 的 无 线 局 域 网 劫持 过 程 如 图 10-15 所 示 。 假 设 恶 意 无 线 客 户 端 
的 耳 地 址 和 MAC 地 址 分 别 为 192.168.0.1、00-00-86-01-02-0B; 路 由 器 的 卫 地 址 和 MAC 
地 址 分 别 为 192.168.0.3、00-00-86-01-02-0D。 如 果 恶 意 无 线 客户 端 希望 劫持 同一 网 段 内 人 P 
地 址 为 192.168.0.0 的 无 线 客户 端 会 话 , 只 要 他 知道 对 方 的 瑟 地 址 , 并 向 其 发 送 一 个 包含 自 
己 00-00-86-01-02-0B MAC 地 址 的 ARP 应 答 报 文 ， 无 线 客户 端 便 会 错误 地 认为 
00-00-86-01-02-0B 就 是 目标 主机 的 MAC 地 址 ,此 时 无 线 客户 端的 所 有 报 文 就 将 被 劫持 到 恶 
意 无 线 客户 端 ,如 果 恶 意 无 线 客户 端 希望 动 持 位 于 另 一 网 段 内 IP 地址 为 192.168.0.2 的 无 线 
客户 端 会 话 ， 则 必须 向 路 由 器 发 送 伪造 MAC 地 址 00-00-86-01-02-0B， 使 路 由 器 ARP 缓存 
表 错 误 地 将 无 线 客户 端的 卫 地 址 192.168.0.2 映射 成 00-00-86-01-02-0B 恶意 MAC 地 址 ， 
路 由 器 便 会 将 无 线 客户 端 发 送 的 所 有 报 文 错误 地 转发 到 恶意 无 线 客户 端 。 


IP:192.168.0.0 IP:192.168.0.2 
MAC:00-00-86-01-02-0A MAC:00-00-86-01-02-0C 
~、、 区 
SS 三 
下 无 线 客户 端 


IP:192.168.0.1 IP:192.168.0.3 
MAC:00-00-86-01-02-0B MAC:00-00-86-01-02-0D 


图 10-15 同 网 段 及 不 同 网 段 WLAN 支持 过 程 
目前 网 络 上 存在 大 量 免费 的 会 话 劫持 软件 ， 甚 至 有 些 劫持 软件 还 提供 源 代 码 ， 只 要 在 
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搜索 引擎 中 输入 关键 词 ARP Spoof 就 可 以 发 现 众多 的 动 持 软件 。 例如 ,Dsniffer、Bktspibdc、 
WCI、ARPOC2、Hunt、Fake、ARPtool 等 都 是 典型 的 ARP 会 话 支持 软件 。 从 无 线 局 域 网 
会 话 劫持 的 原理 可 以 看 出 ， 能 够 实现 会 话 劫持 的 前 提 是 ARP 协议 使 用 了 动态 绑 定 机 制 。 
此 ,只 要 采用 静态 ARP 缓存 表 就 可 以 有 效 地 防止 这 种 会 话 劫持 攻击 ,但 手工 维护 大 量 的 静 
态 MAC 地 址 会 给 安全 管理 增加 额外 的 维护 负担 。 


10.5 “无 线 保护 接 入 安全 机 制 


为 了 解决 IEEE 802.11 系列 无 线 局 域 网 WEP 安全 机 制 存在 的 各 种 安全 漏洞 与 威胁 ， 
Wi-Fi 联盟 于 2003 年 2 月 正式 推出 了 无 线 局 域 网 无 线 保护 接 入 (Wi-Fi Protected Access， 
WPA) 安全 机 制 。WPA 采用 临时 密 钥 完 整 性 协议 (Temporal Key Integrity Protocol，TKIP) 
加 强 了 数据 传输 的 保密 性 ， 采 用 基于 端口 的 网 络 接 入 控制 协议 (Port-based Network Access 
Control Protocol) IEEE 802.1X 和 扩展 认证 协议 EAP 相 结 合 的 方法 提高 了 身份 认证 的 可 信 
度 和 密 钥 管理 的 安全 性 。WPA 不 仅 适应 企业 网 络 环境 ， 也 可 以 用 于 小 型 、 家 庭 办 公 网 络 环 
境 (Small Office/Home Officee，SOHO)， 并 且 能 够 兼容 WEP 和 IEEE 标准 委员 会 于 2004 
年 6 月 宣布 的 IEEE 802.11i 新 一 代 无 线 局 域 网 安全 标准 。 如 果 无 线 AP 和 无 线 网 络 适配器 
支持 WPA， 只 要 在 无 线 AP 安装 IEEE 802.1X 和 TKIP 协议 软件 ， 在 无 线 客 户 端 安装 IEEE 
802.1X、TKIP 和 EAP 协议 ， 即 可 将 企业 无 线 局 域 网 从 脆弱 的 WEP 轻松 升级 到 具有 互 操 作 
性 和 健壮 、 安 全 的 WPA。 


10.5.1 WPA 过 渡 标 准 


事实 上 ，WPA 是 IEEE 802.11i 新 一 代 无 线 局 域 网 安全 标准 的 子 集 。Wi-Fi 联盟 考虑 到 
IEEE 802.11i 安全 机 制 获 得 IEEE 标准 委员 会 批准 还 需要 一 段 时 间 , 等 待 新 一 代 安 全 标准 出 
台 必然 会 阻止 WLAN 产品 的 研发 和 市 场 发 展 速度 ， 由 于 已 经 发 现 WEP 存在 多 种 安全 漏洞 
和 威胁 ,生产 厂商 纷纷 开发 各 自 的 WLAN 安全 解决 方案 ,但 不 同 厂商 提出 的 安全 解决 方案 
缺少 互 操作 性 。 正 是 在 这 种 情形 下 ，Wi-Fi 联盟 在 IEEE 802.11i 出 台 之 前 推出 了 WPA， 作 
为 IEEE 802.11i 的 过 渡 中 间 标 准 ， 确 保 WLAN 在 过 渡 期 内 的 安全 性 。Wi-Fi 联盟 是 IEEE 
802.11i 标准 的 主要 参与 者 之 一 , 所 以 在 规划 WPA 时 就 考虑 了 对 市 场 上 广泛 使 用 的 WEP 和 
未 来 安全 标准 的 兼容 性 。 因 此 ， 不 需要 对 现 有 WLAN 结构 进行 过 多 的 改变 ，WEP 的 软件 
和 固件 就 可 以 很 容易 地 升级 到 WPA，WPA 也 可 以 方便 地 升级 到 IEEE 802.11i 标准 。 


10.5.2 IEEE 802.11i 标准 


IEEE 802.11i 标准 的 全 称 是 “IEEE 信息 技术 标准 系统 之 间 的 通信 和 信息 交换 局 域 网 和 
城 域 网 特殊 需求 一 一 第 11 部 分 : 无 线 局 域 网 介质 接 入 控制 和 物理 层 规范 一 一 修正 6: 介质 
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接 入 控制 安全 增强 (Medium Access Control Security Enhancements)”，Wi-Fi 联盟 则 将 IEEE 
802.11i 标准 称 为 第 二 代 无 线 保护 接 入 (Wi-Fi Protected Access 2，WPA2)。IEEE 802.11i 在 
修正 WEP 已 知 缺 陷 的 基础 上 , 基于 IEEE 802.1X 认证 协议 、 预先 认 证 (Pre-Authentication， 
PA)、 密 钥 体系 (Key Hierarchy，KH)、 密 钥 管 理 (Key Management，KM)、 密 码 和 认证 
协商 (Cipher and Authentication Negotiation, CAN)、 临 时 密 钥 完整 性 协议 TKIP、 计数 模 式 / 
密码 块 链接 消息 认证 码 CCMP 协议 (Counter-mode/CBC-MAC Protocol， 其 中 CBC-MAC 
是 指 CipherBlock Chaining Message Authentication Code ) 和 无 线 健 壮 认 证 协议 
(WirelessRobust Authenticated Protocol, WRAP ) 等 安全 机 制 , 提出 了 健壮 安全 网 络 (Robust 
Securitv Network，RSN) 的 概念 ， 从 数据 保密 、 密 钥 管 理 、 身 份 认证 、 访 问 控 制 、 消 息 完 
整 性 校 验 等 多 个 方面 加 强 了 WLAN 的 安全 性 。 
尽管 IEEE 802.11i 标准 比 WPA 具有 更 高 的 安全 级 别 , 但 由 于 实现 成 本 较 高 , 将 主要 用 

于 政府 、 国 防 、 公 安 、 金 融 、 企 业 等 对 信息 安全 有 特殊 要 求 的 网 络 环境 ， 而 WPA 更 适用 于 
SOHO 网 络 环境 ， 因 此 多 数 网 络 安全 专家 认为 [EEE 802.11i 标准 并 不 能 完全 取代 WPA。 
WPA 与 IEEE 802.11i 标准 之 间 的 关系 如 图 10-16 所 示 , WPA 提供 了 IEEE 802.11i 标准 中 的 
IEEE 802.1X 认证 协议 、 密 钥 体 系 、 密 钥 管 理 、 密 码 和 认证 协商 及 临时 密 钥 完整 性 协议 主要 
安全 机 制 。 


IEEE 802.11i WLAN 认 证 协议 ”无 线 保 护 接 入 WPA 
IEEE 802.1X 认 证 协议 
基本 服务 集 BSS 
独立 基本 服务 集 IBSS 
预先 认证 PA 
密 钥 体系 KH 
密 钥 管理 KM 
密码 和 认证 协商 CAN 
临时 密 钥 完整 性 协议 TKIP 


计数 模式 /密码 块 链接 
消息 认证 码 CCMP 


无 线 健壮 认证 协议 WRAP 


图 10-16 WPA 与 IEEE 802.11i 标准 之 间 的 关系 
10.5.3 WPA 主要 特点 


相对 于 WEP，WPA 提供 了 比较 完善 的 数据 加 密 和 用 户 身份 认证 功能 。WEP 使 用 安全 
性 较 差 的 40 或 104 位 密 钥 长 度 ，24 位 初始 向 量 空 间 , 用 WEP 密 钥 本 身 验 证 无 线 客户 端 身 
份 。WPA 采用 具有 消息 完整 性 校 验 (Message Integrity Check，MIC， 也 称 为 Michael 码 ) 
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功能 的 TKIP 加 密 技 术 代 替 了 容易 破译 的 WEP 加 密 体 制 ， 并 且 将 初始 向 量 、 密 钥 长 度 分 别 
扩大 到 48 和 128 位 ， 提 高 了 破译 TKIP 密 钥 的 难度 。 同 时 使 用 IEEE 802.1X 认证 协议 、 扩 
展 认证 协议 EAP 或 预先 共享 密 钥 (Pre-Shared Key，PSK ) 技术 ， 提 供 了 无 线 客户 端 和 认证 
服务 器 之 间 的 双向 认证 功能 ， 解 决 了 WEP 单 向 认证 的 缺陷 。 此 外 ，WPA 向 下 兼容 WEP， 
能 够 容易 地 通过 软件 或 固件 升级 现 有 的 WEP 无 线 AP 和 无 线 网 络 适 配器 , 而 且 不 se 
线 网 络 的 性 能 。WPA 不 仅 适 用 于 SOHO 网 络 环境 ， 也 适用 于 企业 或 小 型 商业 环境 ， 只 有 

过 身份 认证 的 合法 用 户 才 能 访问 WLAN 资源 。 


10.5.4 IEEE 802.11i 主要 特点 


IEEE 802.11i 标准 或 WPA2 不 仅 支 持 IEEE 802.1X、EAP 或 PSK， 而 且 定义 了 CCMP 
和 WRAP 高 级 加 密 标准 (Advanced Encryption Standard，AES)。AES 是 美国 商业 部 和 国家 
标准 技术 协会 批准 的 美国 官方 加 密 标 准 ， 能 够 满足 官方 政府 的 安全 需求 。 但 AES 不 能 通过 
软件 或 固件 方式 升级 WEP 或 WPA 设备 ,需要 购置 支持 AES 的 无 线 AP 和 无 线 网 络 适 配器 。 
尽管 IEEE 802.11i 标 准 定义 了 TKIP、CCMP 和 WRAP 3 种 加 密 机 制 , 但 只 有 CCMP 和 WRAP 
才 是 实现 RSN 概念 的 强制 要 求 ，IEEE 802.11i 标准 规定 WRAP 仅 是 一 种 可 选 加 密 机 制 。 
WEP、WPA 和 IEEE 802.11i 标准 的 主要 不 同 点 ， 如 表 10-3 所 示 。 


表 10-3 WEP、WAP 与 IEEE 802.11i 的 主要 不 同 点 对 比 


主要 安全 机 制 WEP WAP IEEE 802.11i 
数据 加 密 体制 RC4 TKIP CCMP 或 WRAP 
密 钥 长 度 40 或 104 位 128 位 128 位 
初始 向 量 长 度 24 位 48 位 48 位 
完整 性 校 验算 法 | CRC32 Michael (MIC) CCM 
完整 性 校 验 内 容 | 仅 数据 部 分 ， 头 部 无 校 验 | 数据 和 头 部 都 校 验 数据 和 头 部 都 校 验 
密 钥 管理 协议 无 IEEE 802.1X 和 EAP IEEE 802.1X 和 EAP 
密 钥 管理 方式 固定 密 钥 、 人 工分 发 动态 事务 密 钥 、 自 动 分 发 | 动态 事务 密 钥 、 自 动 分 发 
身份 认证 协议 WEP 密 钥 IEEE 802.1X 和 EAP IEEE 802.1X 和 EAP 

10.6 无 线 网 络 安全 实用 技术 举例 

10.6.1 802.11 规范 的 认证 方式 及 其 不 足 


WLAN 由 于 自身 广播 的 特点 ， 需 要 额外 的 机 制 去 保证 合法 用 户 的 接 入 和 数据 正常 传输 
的 完整 及 安全 性 。 针 对 无 线 终 端 用 户 ，IEEE 802.11 规范 规定 了 两 种 机 制 : 开放 认证 方式 和 
共享 密 钥 认证 方式 。 还 有 其 他 两 种 机 制 ， 即 使 用 SSID 和 基于 MAC 地 址 的 认证 也 是 被 广泛 
采用 的 ， 同 时 使 用 WEP 密 匙 也 可 被 作为 一 种 接 入 控制 手段 。 
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通过 SSID 可 以 实现 WLAN 的 逻辑 隔离 。 通 常 一 个 无 线 终端 必须 配置 正确 的 SSID 以 
便 获 许 接 入 到 WLAN 的 网 络 中 来 ， 但 SSID 没有 提供 任何 的 数据 安全 性 功能 ， 也 没有 真正 
地 对 无 线 终端 进行 认证 。 

开放 认证 方式 允许 任何 的 终端 设备 与 AP 进行 认证 并 尝试 发 生 通信 。 如 果 AP 上 没有 采 
用 加 密 方 式 ， 任 何 配置 对 应 SSID 的 无 线 终端 均 可 获 许 接 入 到 网 络 中 。 当 在 AP 上 采用 了 
WEP 加 密 方 式 ，WEP 密 匙 本 质 上 成 为 一 种 接 入 控制 方式 。 如 果 无 线 终端 设备 没有 正确 的 
WEP 密 钥 ， 即 使 通过 认证 ， 无 线 终端 也 无 法 通过 AP 发 送 数据 到 其 他 的 网 络 设备 ， 或 者 将 
从 AP 发 来 的 数据 包 解 密 。 

共享 密 钥 认 证 方式 是 802.11 规范 定义 的 第 二 种 认证 方式 。 共 享 密 钥 认 证 方式 要 求 无 线 
终端 具备 静态 WEP 密 钥 的 配置 。 由 于 共享 密 钥 认 证 方式 存在 严重 的 安全 缺陷 , 不 推荐 使 用 。 
因为 在 共享 密 钥 认证 操作 期 间 ，AP 发 送 的 认证 响应 的 报 文 并 没有 对 挑战 正文 进行 加 密 , 而 
无 线 终端 直接 将 加 密 后 的 报 文 发 回 ， 所 有 的 报 文 均 可 以 被 监听 。 入 侵 者 可 以 利用 这 两 个 报 
文 计算 出 WEP 密 钥 ， 从 而 可 正式 连接 到 网 络 中。 因为 这 个 缺陷 , 共享 密 钥 认 证 方式 比 开 放 
认证 方式 更 不 安全 。 同 样 ， 共 享 密 钥 认 证 方式 也 不 依赖 于 网 络 的 RADIUS 服务 器 。 

MAC 地 址 认证 方式 并 没有 在 802.11 规范 中 定义 .MAC 地 址 认证 方式 被 用 来 增强 802.11 
规范 中 定义 的 两 种 认证 方式 ， 更 进一步 地 减少 未 经 授权 用 户 接 入 到 网 络 的 可 能 性 。 但 由 于 
MAC 地 址 被 作为 明文 发 送 ， 所 以 入 侵 者 也 很 容易 截获 并 假冒 有 效 的 无 线 终端 。 
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10.6.2 ”建设 安全 的 802.11 网 络 


认识 到 802.11 网 络 认证 和 数据 安全 性 的 弱点 后 ， 为 了 给 用 户 提供 可 扩展 的 、 可 管理 的 
并 且 可 靠 的 WLAN 网 络 ， 思 科 采 用 标准 的 方法 增强 了 802.11 网 络 的 认证 和 加 密 。 实 际 上 ， 
无 线 网 络 的 安全 可 以 由 3 部 分 组 成 : 认证 的 体系 框架 、 认 证 算法 和 数据 安全 性 加 密 算法 。 
思科 无 线 网 络 安全 套件 由 以 下 儿 部 分 组 成 : 
(1) 802.1X 认证 体系 
IEEE 802.1X 标准 提供 了 可 被 多 重 认证 方式 使 用 的 通用 架构 。 
(2) LEAP 认证 算法 
支持 集中 式 的 、 基 于 用 户 的 并 具备 动态 生成 WEP 密 钥 的 认证 方式 。 
(3) 临时 密 钥 完 整 性 协议 TKIP 
思科 提供 两 种 方式 增强 WEP 的 功能 ， 即 MIC 和 PPK。 
(4) 采用 报 文 完整 性 检测 MIC 
有 效 地 提供 数据 帧 的 真实 性 ， 以 减少 网 络 入 侵 者 的 攻击 。 
(5) 每 帧 密 钥 (Per Packet Keying) 
基于 每 个 用 户 帧 的 加 密 ， 最 大 程度 上 减少 入 侵 者 生成 WEP 的 攻击 。 


10.6.3 802.1X 认证 架构 


802.1X 认证 架构 已 经 被 采用 在 IEEE 802.11 工作 组 I (CTGI) 中 作为 802.11 MAC 层 安 
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全 的 增强 手段 ， 如 图 10-17 所 示 。 


| EAP-Cisco 口令 认证 | EAP-TLS PKI 认 证 | | EAP-PEAP Hytrid 认 证 方法 层 
Ee = a021X 导 
| IEEE 802.3 以 太 网 | | IEEE 802.5 令 牌 环 网 | IEEE 802.11 无 线 以 太 网 | 连接 层 


图 10-17 802.1X 网 络 层 结构 
完成 802.1X 认证 需要 3 个 实体 。 
(1) 请 求 者 :这 个 实体 驻 留 在 WLAN 终端 内 。 
(2) 认证 者 : 这 个 实体 驻 留 在 AP 内 。 
(3) 认证 服务 器 : 这 个 实体 驻 留 在 RADIUS 服务 器 内 。 
图 10-18 给 出 了 802.1X 组 件 间 操作 流程 。 


旦 -县 *… 是 远程 认证 拨号 
a 用 户 服务 器 


开始 状态 全 部 请 求 部 件 认证 
+ 一 一 请 求 标识 相同 的 AP 模块 


标识 一 一 一 一 标识 一 > 


驱动 键 客户 机 认证 


具有 会 话 键 的 加 密 


图 10-18 802.1X 组 件 间 操作 流程 
由 于 802.1X 是 可 扩展 的 ， 它 允许 在 其 上 有 多 种 认证 算法 。 当 前 ， 为 802.11 所 使 用 的 
802.1X 没有 规定 某 一 种 特定 的 算法 ， 思 科 的 解决 方案 中 采用 LEAP。 


10.6.4 LEAP 认证 架构 


思科 设计 的 LEAP 认证 算法 ， 提 供 了 一 种 强壮 的 认证 体系 ， 并 且 非 常 易于 实现 。 与 其 
他 的 EAP 认证 算法 一 样 ，LEAP 被 设计 作为 802.1X 的 上 层 。 
(1) 相互 认证 
由 于 无 线 终端 缺乏 有 线 的 连接 ， 在 考虑 网 络 认证 用 户 的 同时 ， 用 户 也 要 对 网 络 进行 认 
证 ， 思 科 的 LEAP 被 设计 实现 双向 认证 。 
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(2) 基于 用 户 身份 的 认证 


802.11 的 认证 是 基于 无 线 终端 设备 的 ， 使 用 设备 者 的 身份 对 网 络 认 证 点 是 不 可 见 的 ， 

为 避免 设备 丢失 而 造成 的 隐患 ， 思 科 LEAP 对 使 用 设备 者 的 身份 进行 认证 。 
(3) WEP 动态 密 钥 管理 

基于 用 户 、 双 向 认证 的 特点 为 用 户 管理 、 安 全 认证 提供 了 很 大 方便 ， 但 依然 需要 一 种 
机 制 来 有 效 地 管理 WEP 密 钥 一 一 需要 认证 算法 本 身 具 备 动 态 WEP 密 钥 。LEAP 基于 用 户 
为 每 个 无 线 终端 生成 唯一 的 密 钥 ， 大 大 减轻 了 网 络 管理 者 管理 静态 密 钥 的 负担 。802.1X 超 
时 设 定 强制 要 求 无 线 终端 重新 认证 ， 从 而 继续 维护 网 络 的 连接 ， 而 在 算法 中 的 重 认证 操作 
将 支持 动态 WEP 密 钥 的 生成 ， 这 意味 着 用 户 的 每 一 次 重 认 证 将 开始 使 用 新 的 WEP 密 钥 。 
针对 减轻 统计 密 钥 来 源 的 攻击 ， 这 是 一 个 非常 关键 的 特点 。 

(4) 临时 密 钥 完整 性 协议 TKIP 

前 面 的 部 分 强调 了 802.11 的 安全 隐患 ,， 尤其 指出 WEP 是 一 种 低 功 效 的 数据 加 密 机 制 。 
思科 采用 即将 标准 化 的 方式 〈 即 众所周知 的 TKIP) 增强 了 WEP 协议 ， 从 而 减轻 了 现 有 的 
攻击 并 克服 了 其 缺点 。TKIP 是 802.11 工作 组 的 标准 草案 ， 为 最 大 程度 上 地 保护 现 有 用 户 
对 思科 无 线 网 络 的 投资 ， 思 科 已 经 在 产品 方案 上 实施 了 TKIP。 

在 对 WEP 增强 方面 ，TKIP 主要 包括 两 点 : 在 所 有 WEP 加 密 的 数据 包 上 采用 报 文 完 
整 性 检测 MIC 功能 ， 以 更 有 效 地 保证 数据 帧 的 完整 性 ， 针 对 所 有 WEP 加 密 的 包 实 行 基于 
每 个 数据 包 密 钥 的 方式 。 此外, 思科 还 增加 了 另外 一 种 没有 在 IEEE 802.11 工作 组 中 定义 的 
方式 ， 称 为 Broadcast Key Rotation。 

(5) LEAP 认证 流程 

基于 上 面 的 802.1X 的 认证 流程 ，LEAP 认证 有 以 下 增强 。 

当 Radius 认证 服务 器 发 送 随意 生成 的 认证 报 文 到 无 线 终端 后 ,无 线 终端 使 用 用 户 提供 
的 密码 进行 单 向 加 密 ， 生 成 响应 报 文 并 发 送 回 Radius 认证 服务 器 ; 认证 服务 器 将 使 用 数据 
库 内 的 用 户 信息 生成 计算 结果 并 与 无 线 终端 的 响应 结果 相 比 较 ， 认 证 服务 器 接受 后 ， 用 户 
终端 将 认证 网 络 的 认证 服务 器 ， 以 上 过 程 反 向 重复 一 次 。 

当 最 终 双向 认证 成 功 ， 认 证 服务 器 将 发 送 接收 请 求 。 当 双向 认证 结束 ，Radius 认证 服 
务 器 和 无 线 终端 将 决定 一 个 WEP 密 钥 , 它 对 无 线 终端 是 唯一 的 , 并 以 此 决定 无 线 终端 的 网 
络 接 入 级 别 , 用 户 将 用 这 个 WEP 密 钥 进行 登录 。 在 登录 过 程 中 ，Radius 认证 服务 器 通过 有 
线 网 络 发 送 这 个 动态 点 播 WEP 密 钥 〈 称 为 会 话 密 钥 ) 到 接 入 点 AP，AP 将 使 用 会 话 密 钥 
去 加 密 AP 的 广播 密 铀 ， 并 将 加 密 后 的 广播 WEP 密 钥 发 给 无 线 终端 。 无 线 终端 将 使 用 会 话 
密 钥 解 出 广播 WEP 密 钥 。 

AP 和 无 线 终端 激活 WEP， 并 使 用 会 话 密 钥 和 广播 密 钥 为 所 有 AP 与 无 线 终端 间 的 数 
据 包 进行 加 /解密 。 会 话 密 钥 和 广播 密 钥 均 可 在 一 定 的 时 间 间 隔 内 改变 ， 该 时 间 间 隔 可 以 被 
配置 在 Radius 认证 服务 器 上 。 这 种 认证 方式 为 无 线 网 络 提供 了 最 高 级 别 的 安全 保证 。 

在 实际 的 网 络 实施 中 ， 思 科 的 AP 可 以 使 用 多 种 不 同 的 认证 机 制 或 类 型 ， 并 在 同一 时 
间 可 以 组 合 使 用 多 种 认证 方式 。 不 同 的 认证 类 型 可 以 和 AP 配置 的 SSID 结合 ， 如 果 想 在 同 
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一 个 AP 上 同时 为 不 同类 型 的 终端 提供 服务 ， 可 以 通过 配置 多 个 SSID 来 实现 。 
小 结 


1. 无线 网 络 标准 

无 线 网 络 标准 主要 有 : 第 二 代 蜂 富 移 动 通信 和 网、 通信 分 组 无 线 业务 网 、 第 三 代 蜂 窜 移 
动 通信 网 、IEEE 802.11 无 线 局 域 网 、HiperLan/2 高 性 能 无 线 局 域 网 、HomeRF 无 线 家 庭 网 、 
蓝牙 短 距 离 无 线 网 、IEEE 802.16 无 线 城 域 网 。 

2G (二 代 ) 移动 通信 系统 采用 数字 信号 实现 语音 和 多 种 数据 业务 ， 主 要 有 GSM 和 
CDMA 移动 通信 标准 。GSM 采用 TDMA， 具 有 900MHz、1800MHz 和 1900MHz 3 个 频段 
标准 ; CDMA 采用 相互 正 交 码 型 区 分 地 址 ， 能 够 在 同一 频率 和 同一 时 间 下 实现 通信 ， 从 而 
比 GSM 有 更 大 的 容量 。 

通用 分 组 无 线 业 务 网 GPRS 是 GSM 迈 向 3G 的 过 渡 移动 通信 标准 , 它 采 用 分 组 交换 传 
输 模 式 。 

ITU 将 第 三 代 移 动 通信 命名 为 国际 移动 通信 IMT2000， 统 一 标准 和 频段 ， 提 高 频谱 利 
用 率 和 支持 多 媒体 通信 是 3G 和 2G 的 主要 区 别 。 

IEEE 802.11 WLAN 分 为 有 固定 基础 设施 和 无 固定 基础 设施 两 类 ; 固定 基础 设施 是 指 预 
先 建 立 的 基站 或 接 入 点 〈 即 AP); 显然 ， 无 固定 基础 设施 便 是 指 没 有 安装 AP 的 WLAN。 
目前 有 IEEE 802.11、802.11a、802.11b 和 802.11g 四 个 标准 系列 。 

Hiper LAN/2 是 宽带 无 线 接 入 网 BRAN 的 组 成 部 分 之 一 ， 物 理 层 使 用 5GHz ISM 频段 
和 OFDM 多 载波 调制 技术 ， 支 持 6、9、12、18、27、30、54Mbps 多 种 传输 速率 。 

Home RF 是 FCC 推出 的 面向 家 庭 的 无 线 网 络 工作 标准 , 主要 用 于 个 人 计算 机 和 家 用 电 
子 设备 之 间 的 无 线 通话 。 

蓝牙 短 距离 无 线 网 的 蓝牙 业界 联盟 特别 兴趣 小 组 SIG 在 全 球 范围 内 积极 推广 蓝牙 技 
术 ， 目 前 已 推出 Bluetooth 1.0、Bluetooth 1.1、Bluetooth 2.03 个 版 本 规范 。 

IEEE 802.16 标准 系列 是 面向 大 范围 覆盖 的 无 线 城 域 网 标准 , 正式 名 称 是 固定 宽带 无 线 
接 入 系统 空中 接口 ， 微 波 接 入 全 球 互 操作 性 WiMAX 联盟 正在 致力 于 在 全 球 范 围 内 推广 
IEEE 802.16 标准 。 

2. 无 线 局 域 网 有 线 等 价 保密 安全 机 制 


有 线 等 价 保密 WEP 是 IEEE 802.11、IEEE 802.11a、IEEE 802.11b 和 IEEE 802.11g 无 线 
局 域 网 采用 的 安全 保护 机 制 。 

WEP 加 密 与 解密 : 初始 密 钥 与 24 位 初始 向 量 IV 连接 后 生成 中 间 密 钥 ， 中 间 密 钥 通 过 
RC4 加 密 算法 生成 密 钥 流 ， 密 钥 流 与 明文 系统 按 位 异 或 密 文 ,这 就 是 加 密 。WEP 解密 是 加 
密 的 逆 过 程 。 


xs xanax 《 


IEEE 802.11 身份 认证 : 表现 在 具有 开放 系统 、 封 闭 系统 和 共享 密 钥 认 证 3 种 身份 认证 
郁 式 。 

3. 无 线 局 域 网 有 线 等 价 保密 安全 漏洞 

无 线 局 域 网 有 线 等 价 保密 安全 漏洞 有 :， WEP 默认 配置 漏洞 、WEP 加 密 漏洞 、WEP 密 
钥 管 理 漏洞 和 服务 设置 标识 漏洞 。 

4. 无 线 局 域 网 安全 威胁 

目前 网 络 上 有 多 种 无 线 局 域 网 探测 和 定位 软件 ， 也 有 许多 软件 工具 支持 无 线 局 域 网 监 
听 和 密 钥 破 译 。 无 线 局 域 网 欺诈 、 无 线 AP 欺诈 和 无 线 局 域 网 劫持 都 是 无 线 局 域 网 的 安全 
威胁 。 

5. 无 线 保护 接 入 安全 机 制 

无 线 保护 接 入 安全 机 制 有 WPA 过 渡 标 准 和 IEEE 802.11i 标准 。 

WPA 的 主要 特点 是 采用 TKIP 加 密 技 术 代替 了 容易 破译 的 WEP 加 密 机 制 ， 将 初始 向 
量 、 密 钥 长 度 分 别 扩 大 到 48 位 和 128 位 ， 提 供 无 线 客户 端 双向 认证 功能 ， 并 使 WPA 向 下 
兼容 WEP。IEEE 802.11i 的 主要 特点 是 支持 IEEE 802.1X、EAP 或 PSK， 定义 了 CCMP 和 
WRAP 高 级 加 密 标准 AES。 

6. 无 线 网 络 安全 实用 技术 举例 

IEEE 802.11 规范 的 认证 方式 有 两 种 : 开放 认证 方式 和 共享 密 钥 认证 方式 。 但 由 于 MAC 
地 址 被 作为 明文 发 送 ， 所 以 入 侵 者 很 容易 截获 或 假冒 有 效 的 无 线 终端 。 

思科 无 线 网 络 安全 套件 由 802.1X 认证 体系 、LEAP 认证 算法 、 临 时 密 钥 完整 性 协议 
TKIP、 报 文 完整 性 检测 MIC 等 几 部 分 组 成 。 

802.1X 认证 架构 已 经 被 采用 在 IEEE 802.11 工作 组 I (CTGI) 中 作为 802.11 MAC 层 安 
全 的 增强 手段 。 

思科 设计 的 LEAP 认证 算法 提供 了 一 种 强壮 的 认证 体系 ， 并 且 非 常 容易 实现 。 


练习 与 思考 


. 简 述 IEEE 802.11 WLAN 开放 系统 认证 和 共享 密 钥 认证 的 过 程 及 各 自 的 特点 。 
. WEP 主要 有 哪些 安全 漏洞 ? 

. 为 什么 获得 足够 多 的 相同 初始 向 量 ， 就 有 可 能 从 密 文 消息 中 破译 出 密 钥 ? 
无 线 局 域 网 主要 有 哪些 安全 威胁 ? 

“战争 驱车 探测 ”软件 NetStumbler 可 以 获得 目标 WLAN 的 哪些 信息 ? 

. 分 别 简 述 共享 密 钥 认 证 欺诈 过 程 和 封闭 系统 认证 MAC 地 址 欺诈 过 程 。 

WPA 采用 哪些 技术 加 强 了 WLAN 的 安全 性 ? 

.IEEE 802.11i 标准 提出 的 健壮 安全 网 络 概念 主要 包含 哪些 内 容 ? 
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9. 列举 WEP 安全 机 制 的 优 缺 点 。 

10. 列举 WPA 安全 机 制 的 优 缺 点 。 

11. 试 述 IEEE 802.11i 安全 机 制 的 优 缺 点 。 

12. 试 述 WEP、WPA 和 IEEE 802.11i 标准 的 异同 。 
13. 思科 设计 的 LEAP 认证 算法 包含 哪些 内 容 ? 
14. 思科 无 线 网 络 安全 套件 由 哪 几 部 分 组 成 ? 
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对 网 络 安全 实验 的 建议 及 题目 


1. 对 网 络 安全 实验 的 一 些 建议 

(1) 进 行 市 场 调查 。 找 一 家 计算 机 配件 商店 ,了 解 一 下 各 种 网 卡 的 价格 。 例 如 , 10Mbps、 
100Mbps、1000Mbps 和 10/100Mbps 等 各 种 导线 的 价格 。 又 例如 , 粗 同 轴 电线 、3 类 双 绞 线 、 
5 类 屏蔽 和 无 屏蔽 双 绞 线 ， 网 络 插头 〈 水 晶 头 ) 和 电话 线 插 头等 的 价格 。 

(2) 使 用 剪 线 钳 和 和 剥 线 钳 制作 一 些 5 类 无 屏蔽 双 绞 线 的 RJ-45 连接 器 ， 并 使 用 电缆 测 
试 仪 检查 是 否 合格 ， 以 备 做 实验 使 用 。 

(3) 如 果 学 校 没有 网 络 安全 实验 室 ， 应 该 配置 一 些 路 由 器 和 相应 层次 的 交换 机 、 无 线 
接 入 设备 、 光 纤 等 传输 媒体 供 实 验 之 用 。 由 学 生 自 己 组 建 网 络 安全 实验 室 。 

(4) 在 实验 室 的 互联 网 上 用 不 同 的 计算 机 复制 文件 ， 设 置 不 同 的 共享 情况 进行 复制 。 

(5) 在 客户 机 上 制作 一 个 网 页 ， 并 发 送 到 实验 室 服务 器 上 ; 从 男 一 台 客户 机 的 某 个 文 
档 链 接 到 上 述 网 页 。 

(6) 建议 所 有 的 网 络 安全 实验 均 由 两 名 学 生 相 互 合作 完成 。 

2. 网 络 安全 实验 题目 

园 于 篇 幅 限 制 ， 在 此 不 可 能 详细 介绍 实验 内 容 、 实 验 目的 和 实验 步 又， 只 能 列举 一 些 
实验 的 题目 。 每 个 题目 的 实验 目的 、 原 理 简 介 、 实 验 环境 、 实 验 步 骤 、 实 验 报告 和 思考 题 
等 内 容 参见 相关 的 计算 机 网 络 安全 实验 教程 。 本 书 要 求 最 少 做 12 个 实验 。 

(1) 路 由 器 配置 

(2) VLAN 划分 

(3) DES 算法 

(4) 加 密 软件 PGP 的 应 用 

(5) DSS 数字 签名 算法 

(6) 嗅 探 器 的 实现 

(7) 端口 扫描 

(8) 木马 的 安装 及 使 用 

(9) 安全 策略 设置 
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(10) 系统 安全 扫描 

(11) IPSec 安全 配置 

(12) Linux 操作 系统 用 户 管理 

(13) Linux 操作 系统 文件 权限 管理 
(14) Web 服务 器 的 设置 

(15) Web 服务 器 的 安全 设置 

(16) Linux 环境 下 IPSec VPN 的 实现 
(17) 在 Windows 下 搭建 入 侵 检测 平台 
(18) 在 Windows 2003 Server 环境 下 独立 根 CA 的 安装 及 使 用 
(19) 无 线 局 域 网 安全 实验 

(20) 防火 墙 的 非法 数据 流 处 理 能 力 测试 


英文 缩写 对 照 表 


A 
AAA authentication, authorization, accounting 认证 、 授 权 、 审 计 
AAFID autonomous agents for intrusion detection 入 侵 检测 自治 代理 
ACL access control table 访问 控制 列表 
AES advanced encryption standard 高 级 加 密 标准 
AH IP authentication header IP 认证 包头 
AirCERT automated incident reporting 自动 事件 报告 
AP access point 接 入 点 
ARP address resolution protocol 地 址 解析 协议 
ASA adaptive security algorithm 自 适 应 安全 算法 

B 
BEEP blocks extensible exchange protocol 块 扩展 交换 协议 
BIND Berkeley Internet name domain 伯克利 Internet 名 字 域 
BPF Berkeley packet filter 伯克利 数据 包 过 滤器 
BRAN broadband radio access networks 宽带 无 线 接 入 网 
BSM basic security module 基础 安全 模块 
BSS basic service set 基本 服务 集 

C 
CA computer associates international 国际 计算 机 联盟 
CAN cipher and authentication negotiation 密码 和 认证 协商 
CBC- MAC cipher block chaining message authentication code 密码 块 链接 消息 认证 码 


CE common criteria for information technology security evaluation ”信息 技术 安全 评价 公共 标准 


CCMP 
CCRA 
CDMA 
CERT 
CIDF 
CISL 
CMU 
CSMA/CD 
CSPF 
CTCPEC 
CVE 
CyberCop 


DAC 
DACL 
DARPA 
DDoS 
DECT 
DES 
DET 
DIDS 
DMZ 
DNS 
DoS 
DSSS 


EAL 
EAP 
EDR 
EL 
ESP 
ESS 
ETSI 


FC 
FCC 
FDD 
FDMA 


counter-mode/CBC- MAC protocol 
common criteria recognition arrangement 
code division multiple access 

CERT Coordination Center 

common intrusion detection framework 
common intrusion specification language 
Carnegie Mellon University 

carrier sense multiple access/collision detect 


CMU Stanford packet filter 


Canadian trusted computer product evaluation criteria 


common vulnerability and exposures 


CyberCop intrusion protection 


discretionary access control 
discretionary access control list 
Defense Advanced Research Projects Agency 
distributed denial of service 

digital enhanced cordless telephony 
data encryption standard 

detection error tradeoff 

distributed intrusion detection system 
demilitarized zone 

domain name systems 

denial of service 


direct sequence spread spectrum 


evaluation assurance levels 
enhanced authentication protocol 
enhanced data rate 

event logger 

IP encapsulating security payload 


extended service set 


European Telecommunication Standard Institute 


F 


Federal Criteria for Information Technology Security 


Federal Communications Commission 
frequency division duplex 


frequency division multiple address 
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计数 模式 /CBC-MAC 协议 

多 边 认可 协议 

码 分 多 址 
计算 机 应 急 响 应 协作 中 心 
通用 入 侵 检测 框架 
通用 入 侵 规 范 语言 

卡耐基 ， 梅 隆 大 学 

载波 监听 多 路 访问 /冲突 检测 
卡耐基 ，。 斯 坦 福 数 据 包 过 滤器 
加 拿 大 可 信 计 算 机 产品 评价 标准 
公共 漏洞 披露 机 构 

入 侵 防 护 系统 


自主 访问 控制 

自主 访问 控制 列表 
美国 国防 部 高 级 研究 计划 署 
分 布 式 拒 绝 服务 攻击 
数字 增强 无 绳 电话 
数据 加 密 标准 

检测 误差 权衡 曲线 
分 布 式 入 侵 检 测 系 统 
非 军事 区 

域名 系统 

拒绝 服务 

直 序 扩 频 


评价 保证 等 级 
扩展 认证 协议 
增强 数据 率 
事件 记录 器 
JP 封装 安全 负载 
扩展 服务 集 
欧洲 电信 标准 协会 


信息 技术 安全 评价 联邦 标准 
联邦 通信 委员 会 

频 分 双 工 

频 分 多 址 
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FHSS 
FPLMTS 
FTP 


GIDO 
GISA 
GPS 
GRE 
GSM 


H2GF 
HIDS 
HiperLAN 
HMM 
HomeRF 
HR-DSSS 
HTML 
HTTP 


IBSS 
ICMP 
ICV 
IDEA 
IDES 
IDWG 
IDMEF 
IDS 
IDSM 
IDXP 
IEC 
IETF 
IGMP 
IKE 
IMAP4 
IMT-2000 
InterNIC 
IP 


frequency hopping spread spectrum 


future public land mobile telecommunication systems 


file transfer protocol 


G 
general intrusion detection object 
German Information Security Agency 
global position system 
generic routing encapsulation 
global system for mobile communication 

H 


HiperLAN/2 Global Forum 

host-based intrusion detection system 
high performance radio local area network 
hidden Markov model 

home radio frequency 

high rate direct sequence spread spectrum 
hypertext markup language 


hypertext transfer protocol 


independent basic service set 

Internet control messages protocol 

integrity check value 

international data encryption algorithm 
intrusion detection expert system 

intrusion detection working group 

intrusion detection message exchange format 
intrusion detection system 

intrusion detection system module 

intrusion detection exchange protocol 
International Electrotechnical Commission 
Internet Engineering Task Force 

Internet group management protocol 

Internet key exchange 

Internet message access protocol version4 
International Mobile Telecmmunication-2000 
Internet Network Information Center 


Internet protocol 


跳 频 扩 频 


未 来 公众 陆地 移动 电信 系统 


文件 传输 协议 


通用 入 侵 检测 对 象 
德国 信息 安全 部 
全 球 定位 系统 
通用 路 由 协议 封装 
全 球 移动 通信 系统 


HiperLAN/2 全 球 论坛 
主机 入 侵 检测 系统 
高 性 能 无 线 局 域 网 
隐 马 尔 科 夫 模型 

家 庭 无 线 网 络 

高 速率 直 序 扩 频 

超 文本 标志 语言 

超 文本 传输 协议 


独立 基本 服务 集 
Internet 控制 报 文 协议 
完整 性 校 验 值 

国际 数据 加 密 算 法 
入 侵 检测 专家 系统 
入 侵 检测 工作 组 

入 侵 检测 消息 交换 格式 
入 侵 检测 系统 

入 侵 检测 系统 模块 
入 侵 检 测 交 换 协议 
国际 电工 委员 会 
因特网 工程 任务 组 
Internet 组 管理 协议 
Internet 密 钥 交换 
消息 访问 协议 版 本 4 
国际 移动 电信 
Internet 网 络 信息 中 心 
网 际 协议 


IPsec 

IR 
ISAKMP 
ISM 

ISN 

ISO 

ISS 
ITSEC 
ITU 

IV 


KH 
KM 


L2F 
L2TP 
Libpcap 
LSA 


MAC 
MAC 
MIC 
MIME 
MPLS 
MPPE 
MSS 
MTA 
MTU 


NAI 
NAS 
NAT 
NCSC 
NetBIOS 
NIDES 
NIDS 
NIST 
NSA 


IP security protocol 


infrared 


Internet security association and key management protocol 


industry science and medical 

initial sequence number 

International Organization for Standardization 
Internet Security Systems 

information technology security evaluation criteria 
International Telecommunication Union 


initialization vector 


key hierarchy 


key management 


layer 2 forwarding 
layer2 tunneling protocol 
packet capture library 


local security authority 


mandatory access control 

medium access control 

message integrity check 
multipurpose Internet mail extensions 
multi protocol label switching 
microsoft point to point encryption 
maximum segment size 

message transfer agent 


maximum transmission unit 


Network Associates Inc. 

network access server 

network address translator 

National Computer Security Center 

network basic input output system 
next-generation intrusion detection expert system 
network-based intrusion detection system 
National Institute of Standards and Technology 
National Security Agency 
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卫 安全 协议 
红外 线 


Internet 安全 关联 和 密 钥 管理 协议 


工业 、 科 学 和 医疗 频段 
初始 序列 号 

国际 标准 化 组 织 
因特网 安全 系统 公司 
信息 技术 安全 评价 标准 
国际 电信 联盟 

初始 向 量 


密 钥 体系 
密 铀 管理 


第 二 层 转 发 协议 
第 二 层 隧道 协议 
数据 包 捕获 函数 库 
本 地 安全 认证 


强制 访问 控制 
介质 访问 控制 
消息 完整 性 校 验 
多 用 途 邮 件 扩展 协议 
多 协议 标记 交换 
微软 点 对 点 加 密 算法 
最 大 数据 段 大 小 
报 文 传送 代理 
最 大 传输 单元 


网 络 联盟 有 限 公司 

网 络 接 入 服务 

网 络 地 址 转换 

美国 国家 计算 机 安全 中 心 
网 络 基本 输入 输出 系统 
下 一 代入 侵 检测 专家 系统 
网 络 入 侵 检测 系统 
美国 国家 标准 技术 委员 会 
美国 国家 安全 局 


多 计算 机 网 络 安全 技术 与 应 用 


NSM 


OFDM 
OPSEC 
OSSIM 
OUI 


PA 
PEM 
PIX 
POP3 
PE 
PPP 
PPTP 
PRNC 
PSK 


QoS 


RADIUS 
RAID 
RARP 
RDP 
RIPPER 
RISC 
ROC 
RPC 
RSA 
RSN 


SA 
SACK 
SACL 
SAD 
SAM 
SET 
SF 


network security monitor 

O 
orthogonal frequency division multiplexing 
open platform for security 
open source security information management 


organizationally unique identifier 


pre-authentication 
privacy enhancement for Internet electronic mail 
Private internet exchange 
post office protocol-version3 
protection profile 
point to point protocol 
point to point tunnel protocol 
pseudo random number generator 
pre-shared key 

Q 
quality of service 

R 
remote authentication dial-in user service 
redundant arrays of inexpensive disks 
Treverse address resolution protocol 
reliable data protocol 
repeated incremental pruning to produce error reduction 
reduced instruction system computer 
Teceiver operating characteristic 
remote procedure call 
Ron Rivest, Adi Shamir Leonard Adleman 


robust security network 


security association 

selective acknowledgement 
system access control list 
security association database 
security account management 
secure electronic transaction 


security target 


网 络 安 全 监视 器 


正 交 频 分 复 用 
安全 性 开放 式 平台 


开放 源码 安全 信息 管理 系统 


厂商 唯一 标识 


预先 认证 

保密 增强 Internet 邮件 
保密 互联 交换 

邮局 协议 -版 本 3 
保护 轮廓 

点 对 点 协议 

点 对 点 隧道 协议 
随机 数 生成 器 

预先 共享 密 铀 


服务 质量 


远程 认证 拨号 用 户 服务 
宛 余 磁盘 阵列 
逆向 地 址 解析 协议 

可 靠 数 据 报 协议 

重复 增 量 裁剪 缩减 错误 
精简 指令 系统 计算 机 
接收 机 操作 特性 曲线 
远程 过 程 调用 

以 人 名 命名 的 加 密 算 法 
健壮 安全 网 络 


安全 关联 
选择 性 应 答 

系统 控制 访问 列表 
安全 关联 数据 库 
安全 账户 管理 
安全 电子 交易 协议 
安全 目标 


SID 
SIG 
SII 
SMB 
SMTP 
SOHO 
SPAN 
SPD 
SPI 
SPI 
SRI 
SRM 
SSID 
SSL 
SVM 
SWAP 


TAP 
TCP 
TCSEC 
TDD 
TDI 
TDMA 


TD-SCDMA time division-synchronous CDMA 


TEMPEST 
TKIP 

TLS 

TNI 

TOE 

TT 


UA 
UDP 


VPN 


WCDMA 


subject identification 

Bluetooth Special Interest Group 
standard indicator icons 

server message block 

simple message transfer protocol 
small office home office 
switched port analyzer 

security policy database 

security parameters index 
stateful packet inspection 
Stanford Research Institute 
security reference monitor 
service set identity 

security socket layer 

support vector machine 


Shared wireless access protocol 


test access port 


transfer control protocol 


trusted computer system evaluation criteria 


time division duplex 
trusted database interpretation 


time division multiple address 


transient electromagnetic pulse emanation standard 


temporal key integrity protocol 
transport layer security 

trusted network interpretation 
target of evaluation 


time to live 


user agent 


user datagram protocol 


Virtual private networking 


wideband CDMA 
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主体 安全 标识 符 
蓝牙 特别 兴趣 小 组 
标准 批示 图 标 
服务 器 消息 块 协议 
简单 邮件 传输 协议 
小 型 或 家 庭 办 公 
交换 端口 分 析 器 
安全 策略 数据 库 
安全 参数 索引 
状态 包 检 查 
斯 坦 福 研究 所 
安全 参考 监视 器 
服务 设置 标识 
安全 套 接 层 
支持 向 量 机 
共享 无 线 访问 协议 


测试 接 入 端口 

传输 控制 协议 

可 信 计 算 机 系统 评价 标准 
时 分 双 工 

可 信 数 据 库 解 释 

时 分 多 址 

时 分 同步 CDMA 
瞬 态 电磁 脉冲 辐射 标准 
临时 密 钥 完整 性 协议 
传输 层 安 全 

可 信和 网络 解释 

评价 目标 

生存 时 间 


和 户 代理 
用 户 数 据 报 协 议 


虚拟 专用 网 


宽带 CDMA 
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WECA 
WEP 
Wi-Fi 
WiMAX 
WLAN 
WLL 
WMAN 
WPA 
WPA2 
WPAN 
WRAP 


XML 


wireless Ethernet Compatibility Alliance 

wired equivalent privacy 

Wireless Fidelity Alliance 

Worldwide Interoperability for Microwave Access 
Wireless local area network 

‘Wireless local loop 

‘Wireless metropolitan area network 

Wi-Fi protected access 

Wi-Fi protected access2 

Wireless personal area network 


‘Wireless robust authenticated protocol 


extensible markup language 


中 国安 全 信息 网 : http://www.hacker.cn。 


四 


四 


中 国 协议 分 析 网 :http://www.cnpaf.net。 

网 络 安全 焦点 : http://www.xfocus.net。 

20cn 网 络 安 全 小 组 : http://www.20cn.net。 

国家 计算 机 网 络 应 急 技术 处 理 协 调 中 心 : http://www.cert.org.cn。 
家 信息 安全 测评 中 心 : http://www.itsec.gov.cn。 

ISA 中 文 网 站 : http://www.isacn.org。 

中 国信 息 安全 认证 中 心 : http://www.isccc.gov.cn。 

际 计算 机 安全 联合 会 : http://www.trusecure.com。 

中 国 应 派 联盟 ，http:Wwww.chinawill.com 。 

际 PGP 网 站 : http://www.pgpi.org。 


赛 迪 网 技术 应 用 : http://tech.ccident.com/pub/column/c1100.html。 


无 线 以 太 网 兼容 性 联盟 
有 线 等 价 保密 

无 线 高 保 真 联盟 

微波 接 入 全 球 互 操作 性 联盟 
无 线 局 域 网 

无 线 本 地 回路 
无 线 城 域 网 

无 线 保护 接 入 

第 二 代 无 线 保护 接 入 
无 线 个 人 区 域 网 

无 线 健壮 认证 协议 


可 扩展 标记 语言 
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